参考訳

ArubaOS-CX Hardening Guide for 10.01

ArubaOS-CX のセキュリティ強化

https://support.hpe.com/hpsc/doc/public/display?sp4ts.oid=null&docLocale=en_US&docId=emr_na-a00053695en_us

August, 2018

© Copyright 2018 Hewlett Packard Enterprise Development LP

お知らせ

ここに含まれる情報は予告なしに変更されることがあります。 Hewlett Packard Enterprise の製品およびサービスに対する唯一の保証は、そのような製品

およびサービスに付属の明示的保証規定に記載されています。 本書のいかなる部分も、追加の保証を構成すると解釈されるべきではありません。 Hewlett

Packard Enterprise は、本書に含まれる技術的または編集上の誤りまたは欠落について責任を負いません。

機密のコンピュータソフトウェア 所有、使用、またはコピーには、Hewlett Packard Enterprise からの有効なライセンスが必要です。 FAR 12.211 および

12.212 に準拠して、商用コンピュータソフトウェア、コンピュータソフトウェアドキュメンテーション、および商品の技術データは、ベンダーの標準商用ライセンスの

下で米国政府にライセンス供与されています。

サードパーティの Web サイトへのリンクをクリックすると、Hewlett Packard Enterprise の Web サイトの外部に移動します。 Hewlett Packard

Enterprise は、Hewlett Packard Enterprise Web サイト以外の情報を管理することはできず、またその責任を負いません。

目次

1. Overview ,,,概要 ................................................................................................................................... 4

1-1. Operational assumptions ,,,運用上の前提 ....................................................................................................... 4

1-2. Switch configuration overview ,,,スイッチ設定の概要 ........................................................................................ 4

1-3. Switch prompts in examples ,,,ドキュメント事例のスイッチプロンプト ........................................................................ 4

1-4. Documentation and software ,,,ドキュメントとソフトウェア ..................................................................................... 5

1-4-1. Documentation ,,,ドキュメンテーション......................................................................................................... 5

1-4-2. Downloading the latest ArubaOS-CX software ,,,最新 ArubaOS-CX ソフトウェアのダウンロード ........................ 5

1-4-3. Aruba AirWave .................................................................................................................................... 5

2. Hardening Aruba switches ,,, Aruba スイッチのセキュリティ強化 ................................................................... 6

2-1. System settings and services ,,,システム設定とサービス ....................................................................................... 6

2-1-1. Time synchronization ,,,時間同期 .......................................................................................................... 6

2-1-2. Login banner ,,,ログインバナー ................................................................................................................. 6

2-2. Insecure protocols and secure alternatives ,,,安全でないプロトコルと安全な代替案 ................................................ 6

2-2-1. TFTP vs. SFTP ..................................................................................................................................... 6

2-2-2. SNMP v1/v2c vs. SNMP v3 .................................................................................................................. 7

2-3. Auditing and logging ,,,監査とロギング ............................................................................................................. 7

2-4. Access control ,,,アクセス制御 ......................................................................................................................... 7

2-4-1. Management interface ,,,管理インタフェース .............................................................................................. 7

2-4-2. Access Control List ,,,ACL .................................................................................................................... 8

2-5. Authentication, Authorization, and Accounting ,,,認証,認可,アカウンティング ....................................................... 8

2-5-1. Minimum password length ,,,最小パスワード長 ......................................................................................... 8

2-5-2. Local authentication ,,,ローカル認証 ........................................................................................................ 9

2-5-3. Failed authentication lockout ,,,失敗した認証のロックアウト .......................................................................... 9

2-5-4. RADIUS authentication ,,, RADIUS 認証 ............................................................................................. 10

2-5-5. TACACS+ authentication, authorization, and accounting ,,, TACACS+認証/認可/アカウンティング .............. 10

2-5-6. Session timeout ,,,セッションタイムアウト ................................................................................................... 10

2-6. Limiting shell access ,,, shell アクセスを制限 .................................................................................................. 10

2-7. Attack prevention ,,,アタック防止 .................................................................................................................. 11

2-7-1. Control Plane Policing ,,,CoPP(コントロールプレーンポリシング) ..................................................................... 11

2-8. Physical security ,,,物理セキュリティ ................................................................................................................ 12

2-8-1. USB port ,,,USB ポート......................................................................................................................... 12

2-8-2. General guidelines ,,, 一般的なガイドライン ............................................................................................. 12

3. Websites ,,,ウェブサイト .........................................................................................................................13

4. Support and other resources ,,,サポートおよびその他のリソース ..................................................................14

4-1. Accessing Hewlett Packard Enterprise Support ,,, HPE Support へのアクセス ................................................. 14

4-2. Accessing updates ,,,アップデートへのアクセス ................................................................................................... 14

4-3. Customer self repair ,,,カスタマの自己修復 ..................................................................................................... 14

4-4. Remote support ,,,リモートサポート ................................................................................................................. 14

4-5. Warranty information ,,,保証情報 ............................................................................................................... 15

4-6. Regulatory information ,,,規制情報 ............................................................................................................. 15

4-7. Documentation feedback ,,,ドキュメントのフィードバック ...................................................................................... 15

1. Overview ,,,概要

ArubaOS-CX は、Aruba の 8400 および 8320 シリーズのキャンパスコアおよびアグリゲーションスイッチプラットフォームを強化する強力な新しいネットワーク

オペレーティングシステムです。 信頼性とインテリジェンスのためにゼロから構築された ArubaOS-CX は、ネットワーク管理者に回復力のあるネットワークバック

ボーンと、インフラストラクチャの使用方法に関する新しい洞察を提供します。

このガイドで説明されているセキュリティ機能は、Aruba のキャンパスコアおよびアグリゲーションスイッチを強化するための優れた出発点であり、組織のより優れた

セキュリティポリシーの文脈で使用されるべきです。 優れたセキュリティプラクティスは、徹底的な脅威評価と多層防御戦略に基づいた包括的なセキュリティポリ

シーが組織にあることを示しています。 セキュリティポリシーを作成した後に初めて、組織は Aruba スイッチに存在する多くのセキュリティ機能を最大限に活用

することができます。

1-1. Operational assumptions ,,,運用上の前提

• デバイス管理に熟練し、デバイス情報のセキュリティを確保し、デバイスの安全な運用のための訓練を受け、セキュリティ侵害を目的とした故意の特権乱用

をしないと確信できる、1 人または複数の認可された管理者を割り当てます。

• 認可されたユーザは、デバイスのマニュアルに記載されている手順に従ってデバイスを正しく設置/設定/運用することができます。

• 信頼されていないユーザ、信頼できないソフトウェア、はコンポーネントサーバには存在しません。

• スイッチは、認可された管理者だけが物理アプライアンスにアクセスできる物理的に安全な環境に設置する必要があります。

• ユーザは認証データを保護します。

1-2. Switch configuration overview ,,,スイッチ設定の概要

スイッチを完全にセキュリティ強化された設定にするには、次の設定オプションを設定する必要があります。

• 可能であれば、専用の管理インタフェースと管理 VRF をスイッチ管理機能に使用する必要があります。

• ファイル転送には SFTP(セキュア FTP)を使用する必要があります。 TFTP(トリビアル FTP)はプレーンテキストでデータを転送し、不正なユーザがデータを

傍受する可能性があるためです。

• SNMP を介したリモート管理を使用する場合は、SNMP v1 および SNMP v2c を無効にし、暗号化された SNMP v3 を使用する必要があります。

➢ SNMP v3 を使用できなくても SNMP 機能が必要な場合は、「public」や「private」などの一般的なコミュニティ名を使用しないでください。

• すべてのユーザが強力なパスワードを使用する必要があります。

• 信頼できる外部認証サーバを使用して、アカウンティングとコマンド認可を強制しながら、ユーザの識別と認証を行う必要があります。

• アイドルセッションタイムアウトは、ゼロ以外の値に設定する必要があります。

• start-shell コマンドへのアクセスは、信頼できるユーザに制限されている必要があります。

• 使用していないときは USB ポートを無効にし、必要なときだけ一時的に有効にしてください。

• CoPP(コントロールプレーンポリシング)を使用して、特定タイプのパケットをレート制限して、デバイス CPU に対する DoS 攻撃を防止する必要があります。

1-3. Switch prompts in examples ,,,ドキュメント事例のスイッチプロンプト

この文書で使用されているスイッチプロンプトはサンプルであり、特定のスイッチまたは環境と一致しない可能性があります。

例：

• スイッチプロンプトは「switch」文字列で始まります。

• スイッチプロンプトは「コマンドコンテキスト」も表示されます。

例えば：

• switch> ,,, これはオペレータ権限のコマンドコンテキストを示しています。

• switch# ,,, これはマネージャ権限のコマンドコンテキストを示しています。

• switch(config)# ,,, これはグローバルレベルの設定コンテキストを示しています。

ご使用の環境では、プロンプトがユーザ設定可能なため、スイッチのプロンプトが変わる可能性があります。

• 通常スイッチのプロンプトはスイッチのホスト名で始まります。

• スイッチプロンプトにはインタフェースや VLAN ID などの特定の設定コマンドによるコンテキストが含まれています。 例えば switch(config-vlan-100)#

このような場合、このドキュメントの例では「n」や「if」などの代替文字列が含まれる場合があります。

1-4. Documentation and software ,,,ドキュメントとソフトウェア

1-4-1. Documentation ,,,ドキュメンテーション

最新の ArubaOS-CX ドキュメントは、HPE Networking Information Library にあります。 これには、ユーザガイド、ホワイトペーパー、およびケーススタ

ディが含まれます。

1-4-2. Downloading the latest ArubaOS-CX software ,,,最新 ArubaOS-CX ソフトウェアのダウンロード

HPE My Networking portal にアクセスして、スイッチモデルまたは製品番号を入力し、[Software downloads]を選択して、スイッチに適切なソフトウェ

アバージョンを見つけます。

PC、SFTP/SCP サーバ、もしくは USB メモリにソフトウェアバージョンをコピーします。

CLI の copy コマンドを使用して、ソフトウェアをサーバまたは USB メモリからスイッチにダウンロードするか、WebUI 経由でアップロードします。 詳細な手順に

ついては、ご使用のスイッチモデルの HPE Networking Information Library から適切なユーザマニュアルをダウンロードしてください。

1-4-3. Aruba AirWave

Aruba AirWave は、強力で使いやすいネットワーク運用システムであり、Aruba や広範な 3rd パーティ製の有線/無線インフラストラクチャを管理するだけで

なく、ネットワーク上のデバイス、ユーザ、アプリケーションに詳細な可視性を提供します。

2. Hardening Aruba switches ,,, Aruba スイッチのセキュリティ強化

今日のオール・デジタル・エンタープライズ・インフラストラクチャでは、セキュリティはますます注目されています。 上位レベルの管理者と IT 管理者は、重要なデ

ータとインフラストラクチャの完全性と可用性に対する高い説明責任を担っています。 ホストクライアントとサーバはセキュリティに関する議論の焦点となることが

多いですが、スイッチ、ルータ、無線アクセスポイントなどのネットワークデバイスのセキュリティも無視できません。 重要なエンタープライズデータはこれらのデバイス

を通過するので、それらを適切に保護することは、安定した安全なインフラストラクチャにとって最重要です。

このドキュメントの目的は、ArubaOS-CX ソフトウェアによって提供される管理機能とプロトコルのセキュリティガイドラインとベストプラクティスを提供し、これらの

ベストプラクティスを実際に実証するためのサンプル設定を提示することです。 この文書は、記載されている機能やコマンドの包括的なリファレンスガイドではあり

ません。 このドキュメントで説明されている設定構文と高度な機能の詳細については、HPE Networking Information Library から最新のソフトウェアマ

ニュアルセットを入手してください。

2-1. System settings and services ,,,システム設定とサービス

2-1-1. Time synchronization ,,,時間同期

多くの安全なプロトコルや監査機能は、管理されたネットワークの外部または内部(セキュリティ上の考慮が許せば)で、信頼できる時間ソースと同期した(正し

い)システムクロックを必要とします。 これを実現する最も一般的に使用されるプロトコルの 1 つは NTP で、ローカルおよびインターネットホストサーバの両方を

使用してネットワーク全体のシステム時間を同期させることができます。 安全な管理プロトコルを有効にする前に、デバイスで NTP を設定して有効にする必要

があります。

たとえば、NTP 認証を使用し、スイッチ管理ポートを使用して 10.100.1.254 でローカル NTP サーバに接続するようにスイッチを設定するには、次の手順を

実行します。

switch(config)# ntp authentication

switch(config)# ntp authentication-key 1 md5 myPassword

switch(config)# ntp server 10.100.1.254 prefer

switch(config)# ntp vrf mgmt

2-1-2. Login banner ,,,ログインバナー

ログインプロセス中に表示されるバナーを設定すると、無許可の使用が禁止され、システムへのアクセスと使用が監視および記録される可能性があることをユー

ザに通知できます。

次に示すのは、ユーザがログインする前にスイッチに接続したときに表示される MOTD(message of the day)バナーの作成例です (^文字を使用してバナ

ーの末尾を示します)。

switch(config)# banner motd ^

Enter a new banner. Terminate the banner with the delimiter you have chosen.

switch(config-banner-motd)# This system is for authorized use only. Unauthorized or improper

switch(config-banner-motd)# use of this system may result in civil or criminal penalties. By

switch(config-banner-motd)# continuing to use this system you acknowledge your consent to

switch(config-banner-motd)# these conditions of use.

switch(config-banner-motd)# ^

2-2. Insecure protocols and secure alternatives ,,,安全でないプロトコルと安全な代替案

ArubaOS-CX では、SSH およびシリアルコンソールのみが管理アクセス用に箱から出して有効になっています。 ソフトウェアのアップグレード、設定データの転

送、トラブルシューティングなどのユースケースをサポートするために、追加の機能やプロトコルが提供されています。 次のセクションでは、これらの機能を安全に使

用するための推奨事項と設定例を示します。

2-2-1. TFTP vs. SFTP

TFTP は認証を必要とせず、平文でデータを転送するため、ファイル転送には TFTP を使用しないでください。 権限のないユーザが機密データを傍受する可能

性があります。 SFTP(Secure FTP)は、クライアントとサーバ間で暗号化されたセッションを提供するため、代わりに使用する必要があります。 たとえば、

MGMT インタフェースを使用してソフトウェアイメージを SFTP サーバからスイッチのプライマリイメージスロットにコピーするには、次の手順を実行します。

switch# copy sftp://sftpuser@10.10.10.1/TL_10_01_0001.swi primary vrf mgmt

2-2-2. SNMP v1/v2c vs. SNMP v3

ArubaOS-CX では、SNMP はデフォルトで無効になっています。 このプロトコルは、AirWave や IMC などの中央管理サーバからスイッチやルータを監視する

ために使用されます。 よく使用される SNMPv1 および SNMPv2c は、パスワードが認証に使用されるのと同じように、読み取りおよび書き込みアクセスにコミュ

ニティ名を使用します。 これらのコミュニティ名は平文でネットワーク上に送信されます。 悪意のあるユーザがこれらのコミュニティ名を取得しようとすると、設定パ

ラメータと監視データをスイッチから取得する可能性があります。

SNMPv3 は、SSH で使用されているのと同様の非対称暗号化を使用してネットワーク上の SNMP トラフィックを暗号化することにより、この弱点を克服するた

めに開発されました。 SNMPv3 ユーザを作成し、mgmt VRF インスタンスに SNMP 機能を割り当てるには、次の手順を実行します。

switch(config)# snmpv3 user myUser auth sha auth-pass plaintext myAuthPswrd priv des priv-pass plaintext myPrivPswrd

switch(config)# snmp-server vrf mgmt

SNMPv3 を有効にすることに加えて、デフォルトの SNMPv1/v2c コミュニティ名 public を非標準のコミュニティ名に置き換える必要があります。

switch(config)# snmp-server community ReadOnlyCommunity

このコミュニティ名は、環境内の機能上の制限のために SNMPv3 を使用できない場合でも、代わりに使用できますが、デバイスモニタリングには SNMP が依然

として必要です。

2-3. Auditing and logging ,,,監査とロギング

ArubaOS-Switch は、ローカルに保存されたイベントとセキュリティログの両方を提供し、監査目的で syslog プロトコルを使用してイベントをリモートサーバに

転送します。 ログに記録されたイベントは、セベリティレベル、発信元システムモジュール、またはメッセージテキストと照合するための正規表現を使用してフィルタ

リングできます。

syslog クライアントは、UDP(デフォルト)または TCP を使用してサーバに接続できます。 mgmt VRF を使用して、セベリティレベルが warning 以上のすべ

てのイベントを 10.100.1.250 にある syslog サーバに転送するようにスイッチを設定するには、次のコマンドを使用します。

switch(config)# logging 10.100.1.250 vrf mgmt severity warning

2-4. Access control ,,,アクセス制御

2-4-1. Management interface ,,,管理インタフェース

OOBM として知られているビルトインの MGMT インタフェースは、実稼働トラフィックから分離されたネットワークからスイッチにアクセスして管理するための手段を

提供することを目的としています。 分離された MGMT ネットワーク上の端末のみがスイッチへの管理アクセスを取得できます。 これにより、不正アクセスを試み

る可能性があるデバイスの範囲が大幅に制限されます。

スイッチソフトウェアでは、MGMT インタフェースは VRF によってスイッチの他の部分から論理的に分離されています。 MGMT インタフェースで使用することを目

的とした機能は、専用の mgmt VRF インスタンスに割り当てられます。 上記のいくつかの例に示すように、いくつかの管理サービスは、通常のスイッチポートで

はなく mgmt VRF を使用するように設定できます。

MGMT インタフェースと通常のスイッチポートの間でトラフィックをルーティングすることはできません。 また、MGMT インタフェースに専用のゲートウェイアドレスを割

り当てることができます。 MGMT インタフェースはデフォルトで有効になっています。

MGMT インタフェースを静的 IP アドレス、ゲートウェイ、および DNS で設定するには、次の手順を実行します:

switch(config)# interface mgmt

switch(config-if-mgmt)# ip static 10.1.1.5/24

switch(config-if-mgmt)# default-gateway 10.1.1.1

switch(config-if-mgmt)# nameserver 10.0.1.10 10.0.1.11

代わりに DHCP を使用するには:

switch(config)# interface mgmt

switch(config-if-mgmt)# ip dhcp

MGMT インタフェースのステータスを表示するには:

switch# show interface mgmt

Address Mode : static

Admin State : up

Mac Address : d0:67:26:11:11:11

IPv4 address/subnet-mask : 10.1.1.5/24

Default gateway IPv4 : 10.1.1.1

IPv6 address/prefix :

IPv6 link local address/prefix : fe80::d267:2611:1111:1111/64

Default gateway IPv6 :

Primary Nameserver : 10.0.1.10

Secondary Nameserver : 10.0.1.11

2-4-2. Access Control List ,,,ACL

専用 MGMT インタフェース以外のインタフェースで管理アクセスを提供する必要がある場合は、IP アクセスコントロールリスト(ACL)を使用して管理アクセスを

特定の管理端末またはサブネットに制限し、スイッチへのアクセスを許可する IP 範囲またはプロトコルを細かく制御できます。

管理端末と他のネットワークデバイスの両方をホストするインタフェースに適用される次のスタンダード ACL を検討してください:

switch(config)# access-list ip mgmt_traffic

switch(config-acl-ip)# 10 permit tcp 10.1.1.0/24 10.1.1.5 eq 22

switch(config-acl-ip)# 20 permit tcp 10.1.1.0/24 10.1.1.5 eq 443

switch(config-acl-ip)# 30 permit tcp 10.0.1.50 10.1.1.5 eq 22

switch(config-acl-ip)# 40 permit tcp 10.0.1.50 10.1.1.5 eq 443

switch(config-acl-ip)# exit

switch(config)# interface 1/1/1

switch(config-if)# apply access-list ip mgmt-traffic in

この ACL をポートの着信トラフィックに適用すると、10.1.1.0/24 または 10.0.1.50 のホストだけが TCP ポート 22(SSH または SFTP の場合)または

443(セキュア Web インタフェースの場合)のスイッチにアクセスできます。 他の送信元 IP アドレスから、またはスイッチ上の他の TCP ポートへの他のトラフィック

はすべてドロップされます。

この ACL と組み合わせて、有効になっているすべての非管理対象インタフェース上の着信トラフィックに適用される 2 番目の ACL は、スイッチ管理アドレスへの

すべての接続を阻止しながら、他のすべてのトラフィックを通過させます:

switch(config)# access-list ip block_mgmt_connections

switch(config-acl-ip)# 10 deny any any 10.1.1.5

switch(config-acl-ip)# 20 permit any any any

switch(config-acl-ip)# exit

switch(config)# interface 1/1/2

switch(config-if)# apply access-list ip block_mgmt_connections in

switch(config-if)# exit

ArubaOS-CX のすべての ACL には、ルールリストの末尾に 「暗黙の deny any」 ルールがあります。 これにより、許可したいトラフィックに関しては、適用さ

れた ACL を通過するために明示的な permit ルールで許可する必要があります。

ACL を MGMT インタフェースや mgmt VRF に適用することはできません。 このインタフェースに対してアクセス制御を実装する必要がある場合は、ACL を

アップストリームデバイスに適用する必要があります。 ACL は、RADIUS サーバや TACACS+サーバなどの信頼できる認証サービスと組み合わせて使用する

必要があります。

2-5. Authentication, Authorization, and Accounting ,,,認証,認可,アカウンティング

工場出荷時のデフォルト状態では、ArubaOS-CX デバイスはパスワードなしのデフォルトユーザ 「admin」 が設定されているので、システムは物理的またはリ

モートアクセスを持つ人に開放されたままになります。 そのため、新しいスイッチを導入する際の最初のステップは、強力なパスワードを設定して管理アクセスを

許可されたユーザに制限することです。 これが行われれば、スイッチ管理者およびオペレータを認証する他の方法を展開することができます。

ArubaOS-CX では、RADIUS または TACACS+に基づいて外部サーバを設定してスイッチ管理ユーザを認証できます。 デバイスに設定されている認証方

法は、すべてのアクセス方法(シリアルコンソール、SSH、Web UI)に共通です。

プライマリ認証方法が失敗した場合(たとえば、すべての外部認証サーバにアクセスできない場合)、セカンダリ認証方法がユーザの認証に使用されます。

ArubaOS-CX では、管理ユーザを認証する 3 つの方法が許可されています。

• Local: スイッチデータベースにローカルに保存されているユーザ名とパスワードを使用します。

• RADIUS: 1 つ以上の RADIUS サーバを使用してユーザを認証します。

• TACACS+: 1 つ以上の TACACS+サーバを使用してユーザを認証します。

2-5-1. Minimum password length ,,,最小パスワード長

デバイス管理者は、管理ユーザのパスワードがデバイスにアクセスするためにブルートフォース攻撃される可能性を減らすために使用できる最小パスワード長を指

定できます。

パスワードの長さを 12 文字以上にするには:

switch(config)# aaa authentication minimum-password-length 12

2-5-2. Local authentication ,,,ローカル認証

ローカルユーザアカウントを 2 つのユーザグループのいずれかに割り当てて、スイッチへのアクセスレベルを変えることができます。

• 管理者 - フルアクセス

➢ ファームウェアのアップグレードを実行

➢ 設定を変更

➢ 暗号テキストパスワードなどの機密データを含む、すべてのスイッチ設定情報の表示

➢ ローカルユーザアカウントの追加と削除、およびユーザーパスワードの変更

➢ すべての REST インタフェース方式(GET, PUT, POST, PATCH, DELETE)の使用

➢ 特権レベル 15

• オペレータ - 制限付きアクセス

➢ 表示専用 CLI アクセス

➢ 機密性の低い設定情報の表示

➢ REST インタフェースの GET 方式のみ使用可

➢ 特権レベル 1

ローカルのユーザ名とパスワードはスイッチごとに設定され、最も基本的な認証形式を提供します。プライマリ認証方式が失敗した場合に最小限のセキュリティレ

ベルを提供するために、ローカル認証が代替ログイン方式としてよく使用されます。

対話式パスワード入力を使用して localadmin という名前のローカル管理者レベルのユーザを構成するには、次のようにします。

switch(config)# user localadmin group administrators password

Enter password: **********

Confirm password: **********

平文のパスワードで localoperator という名前のオペレータレベルのユーザを作成するには、次の手順を実行します。

switch(config)# user localoperator group operators password plaintext I-h@ve-Read-0n1y-Acc3ss!

パスワードは、平文で入力するのではなく、暗号文の文字列として入力することもできます。 ArubaOS-CX では、暗号文パスワードを手動で生成することは

できません。 同じエクスポートパスワードが設定されている別のスイッチからコピーする必要があります。 スイッチにエクスポートパスワードを設定するには、次の手

順を実行します。

switch(config)# service export-password

Enter password: *************

Confirm password: *************

送信元スイッチと宛先スイッチのエクスポートパスワードが同じになったら、暗号化パスワードを送信元スイッチからコピーして宛先に適用します。

switch(config)# user admin2 group administrators password ciphertext myCipherText

2-5-3. Failed authentication lockout ,,,失敗した認証のロックアウト

デフォルトでは、認証成功するまでにユーザが試行できるログインの回数に制限はありません。 これにより、認証されていないユーザがアカウントのパスワードを推

測してスイッチにアクセスする危険性があります。

このリスクは、ログイン試行の失敗回数を制限することで軽減できます。 この制限に達すると、ユーザアカウントはロックアウトされます。

アカウントのロックアウトまでに失敗したログインの試行回数を 2 に設定し、ロックアウト時間を 300 秒(5 分)にするには、次のコマンドを使用します。

switch(config)# aaa authentication limit-login-attempts 2 lockout-time 300

失敗したログイン試行の制限は、1 から 10 の間で設定できます。 1 に設定すると、ログインに失敗するとアカウントがロックアウトされます。 ロックアウト時間は

1~3,600 秒(1 時間)の範囲で設定できます。

この設定は、ローカル認証を使用した SSH または WebUI を介したログイン試行にのみ適用されます。 シリアルコンソールを介したログイン試行には適用され

ません。 RADIUS または TACACS+がユーザ認証に使用されている場合、この機能は設定できません。 代わりに、アカウントロックアウトポリシーをそれぞれ

の認証サーバで設定する必要があります。

2-5-4. RADIUS authentication ,,, RADIUS 認証

RADIUS によるユーザ認証は、スイッチへのアクセスを管理するための集中管理された方法を提供します。 これにより、管理者はすべてのネットワークデバイス

に変更を加えることなく、認可されたユーザのセットに変更を加えることができます。 RADIUS 認証は、Aruba ClearPass Policy Manager によってサポー

トされています。

次の例では、認証鍵が「secret」の IP アドレス 10.100.0.253 の RADIUS サーバが、スイッチの認証に使用されるように設定されています。

switch(config)# radius-server host 10.100.0.253 key plaintext secret vrf default

スイッチログインの、セカンダリ認証方式にローカル認証を使用し、プライマリ認証方式に RADIUS 認証を有効にするには、次の設定コマンドを使用します。

switch(config)# aaa authentication login default group radius local

2-5-5. TACACS+ authentication, authorization, and accounting ,,, TACACS+認証/認可/アカウンティング

TACACS+を使用してユーザを認証すると、スイッチへのアクセスを集中管理することもできます。 TACACS+認証は RADIUS 認証と同じ方法で機能する

ため、管理者は中央サーバからユーザを管理できます。 TACACS+認証は、Aruba ClearPass Policy Manager でもサポートされています。

上記の RADIUS の例と同様に、次のコマンドでは、認証鍵「terces」を持つ 10.100.0.252 の TACACS+サーバを認証サーバとして指定します。

switch(config)# tacacs-server host 10.100.0.252 key plaintext terces

管理アクセスのプライマリ方式として TACACS+認証を、セカンダリ方式としてローカル認証を有効にするには、次の設定コマンドを使用します。

switch(config)# aaa authentication login default group tacacs local

TACACS+では、コマンドの認可とアカウンティングも可能になり、コマンドラインアクセスのよりきめ細かな制御が可能になり、マネージャが自分のデバイス上のユ

ーザセッションと設定アクティビティを監視できるようになります。

次のコマンドは、デフォルトの tacacs グループ内のサーバによって処理される認可およびアカウンティングを有効にします。

switch(config)# aaa authorization commands default group tacacs

switch(config)# aaa accounting all default start-stop group tacacs

2-5-6. Session timeout ,,,セッションタイムアウト

セッションタイムアウトはゼロ以外の値に設定する必要があります。 セッションタイムアウトのデフォルト値は 30 分です。 タイムアウト時間がユーザの操作なしで

経過すると、セッションは終了し、ユーザは再度ログインする必要があります。

次のコマンドを使用して、セッションタイムアウトを 5 分に設定します。

switch(config)# session-timeout 5

セッションタイムアウト期間は 0(無効)から 43,200 分(30 日)の間で設定でき、シリアルコンソールおよび SSH セッションに適用されます。 WebUI には適用

されません。

2-6. Limiting shell access ,,, shell アクセスを制限

ArubaOS-CX オペレーティングシステムは、基盤となる Linux shell(Bash)へのアクセスを提供し、管理者がスイッチのコマンドラインから shell セッションを起

動できるようにします。 デフォルトでは、管理者グループの一部であるすべてのアカウントは start-shell コマンドを使用してシェルにアクセスできます。 また、

sudo コマンドを使用して root として shell コマンドを実行することもできます。 shell アクセスを悪用すると、リモートデバイスへのパケットミラーリングを介して不

正なネットワークトラフィックが不正な第三者に開示されたり、サービス OS コンソールを介してシステムファイルを変更または削除してデバイスを起動不能にして

サービス拒否を引き起こす可能性があります。

shell アクセスを制限するために、外部 TACACS+認可サーバ(ClearPass など)を使用して、特に必要とするユーザ以外のすべてのユーザに対して start-

shell コマンドへのアクセスを拒否することができます。 TACACS+を使用してコマンド認可を実装する方法の詳細については、ご使用の TACACS+ソフトウェ

アプラットフォームのマニュアルを参照してください。

2-7. Attack prevention ,,,アタック防止

2-7-1. Control Plane Policing ,,,CoPP(コントロールプレーンポリシング)

CoPP(コントロールプレーンポリシング)は、パケットをレート制限またはドロップすることによって、特定のタイプのパケットのフラッディングがスイッチまたはモジュール

の CPU に過負荷をかけるのを防ぎます。 スイッチソフトウェアは、ARP ブロードキャスト、マルチキャスト、ルーティングプロトコル(BGP, OSPF)、およびスパニン

グツリーを含む(ただしこれらに限定されない)レート制限可能な多数のデフォルトクラスのパケットを提供します。

次のデフォルト CoPP ポリシーでは、次のトラフィッククラス定義とレート制限(1 秒あたりのパケット数)が適用されます。

class drop priority rate pps burst pkts hardware rate pps

--------------------- ------------- -------- ---------- -----------------

acl-logging 0 50 50 50

arp-broadcast 3 7000 7000 7000

arp-unicast 4 2500 2500 2500

bfd 7 1000 1000 1000

bgp-ipv4 6 1500 1500 1500

bgp-ipv6 6 1500 1500 1500

dhcp-ipv4 1 1000 1000 1000

dhcp-ipv6 1 1000 1000 1000

hypertext 5 150 150 150

icmp-broadcast-ipv4 3 2000 2000 2000

icmp-multicast-ipv6 3 2000 2000 2000

icmp-unicast-ipv4 4 1000 1000 1000

icmp-unicast-ipv6 4 1000 1000 1000

igmp 6 2500 2500 2500

ip-exceptions 0 150 150 150

ipsec 6 2500 2500 2500

ipv4-options 2 150 150 150

ipv6-options 2 150 150 150

lacp 6 1000 1000 1000

lldp 6 500 500 500

loop-protect 7 1000 1000 1000

mvrp 6 1000 1000 1000

ntp 5 150 150 150

ospf-multicast-ipv4 6 2500 2500 2500

ospf-multicast-ipv6 6 2500 2500 2500

ospf-unicast-ipv4 6 2500 2500 2500

ospf-unicast-ipv6 6 2500 2500 2500

pim 6 1500 1500 1500

sflow 1 2000 2000 2000

ssh 5 1000 500 1000

stp 7 2500 2500 2500

telnet 5 500 500 500

udld 7 500 500 500

unknown-multicast 2 1500 1500 1500

unresolved-ip-unicast 2 1000 1000 1000

vrrp-ipv4 6 1000 1000 1000

vrrp-ipv6 6 1000 1000 1000

default 1 1000 500 1000

デフォルトの CoPP ポリシーは変更できますが、削除することはできません。 変更したデフォルトの CoPP ポリシーを出荷時のデフォルト設定に戻すには、次のコ

マンドを使用します。

switch(config)# copp-policy default revert

一度にアクティブにできるのは 1 つだけですが、管理者は最大 32 個のカスタム CoPP ポリシーを作成できます。 次のコマンドは、単純なカスタム CoPP ポリシ

ーの作成、およびそれがスイッチにどのように適用されるかを示しています。

switch(config)# copp-policy copp_example

switch(config-copp)# class arp-broadcast priority 2 rate 1000 burst 1000

switch(config-copp)# class unknown-multicast priority 2 rate 1000 burst 1000

switch(config-copp)# class unresolved-ip-unicast priority 2 rate 1000 burst 1000

switch(config-copp)# default-class priority 1 rate 3000 burst 3000

switch(config-copp)# exit

switch(config)# apply copp-policy copp_example

カスタム CoPP ポリシーをサービスから削除してデフォルトプロファイルを自動的に適用するには、次の手順を実行します。

switch(config)# no apply copp-policy copp_example

常にデバイス上で少なくとも 1 つの CoPP ポリシーがアクティブになっている必要があります。 アクティブなカスタム CoPP ポリシーは削除できません。 上記のコマ

ンドを使用して、まずサービスから削除する必要があります。

2-8. Physical security ,,,物理セキュリティ

2-8-1. USB port ,,,USB ポート

スイッチには、展開、トラブルシューティング、設定バックアップ、またはスイッチの更新のためのフラッシュドライブを挿入するための USB ポートが含まれています。こ

のポートは、使用していないときは無効にし、必要なときには一時的に有効にする必要があります。

USB ポートを有効にするには、次のコマンドを使用します:

switch(config)# usb

ポートを無効にするには:

switch(config)# no usb

2-8-2. General guidelines ,,, 一般的なガイドライン

可能であれば、スイッチへの物理的なアクセスは、スイッチをロックされたネットワークやサーバルーム、クローゼット、またはその他のエンクロージャに配置するなどの

アクセス制御を実装することによって、許可されたオペレータに制限する必要があります。 RADIUS や TACACS+などの認証ソリューションを利用して、シリア

ルコンソールまたはスイッチポートを介した不正な管理アクセスを防止します。

3. Websites ,,,ウェブサイト

ネットワーキングのウェブサイト

Hewlett Packard Enterprise Networking Information Library : www.hpe.com/networking/resourcefinder

Hewlett Packard Enterprise Networking Software : www.hpe.com/networking/software

Hewlett Packard Enterprise Networking website : www.hpe.com/info/networking

Hewlett Packard Enterprise My Networking website : www.hpe.com/networking/support

Hewlett Packard Enterprise My Networking Portal : www.hpe.com/networking/mynetworking

Hewlett Packard Enterprise Networking Warranty : www.hpe.com/networking/warranty

一般的なウェブサイト

Hewlett Packard Enterprise Information Library : www.hpe.com/info/EIL

追加の Web サイトについては、後述する「Support and other resources」を参照してください。

4. Support and other resources ,,,サポートおよびその他のリソース

4-1. Accessing Hewlett Packard Enterprise Support ,,, HPE Support へのアクセス

• ライブサポートについては、Hewlett Packard Enterprise Worldwide の Web サイトにアクセスしてください:

http://www.hpe.com/assistance

• ドキュメントおよびサポートサービスにアクセスするには、Hewlett Packard Enterprise Support Center Web サイトにアクセスしてください:

http://www.hpe.com/support/hpesc

収集する情報

• テクニカルサポート登録番号 (該当する場合)

• 製品名、モデルまたはバージョン、シリアル番号

• オペレーティングシステムの名前とバージョン

• ファームウェアのバージョン

• エラーメッセージ

• 製品固有のレポートとログ

• アドオン製品またはコンポーネント

• サードパーティの製品またはコンポーネント

4-2. Accessing updates ,,,アップデートへのアクセス

• 一部のソフトウェア製品は、製品のインタフェースを通じてソフトウェアの更新にアクセスするためのメカニズムを提供します。製品のマニュアルを参照して、推

奨されるソフトウェア更新方法を確認してください。

• 製品アップデートをダウンロードするには:

➢ Hewlett Packard Enterprise Support Center: www.hpe.com/support/hpesc

➢ Hewlett Packard Enterprise Support Center: Software downloads: www.hpe.com/support/downloads

➢ Software Depot: www.hpe.com/support/softwaredepot

• eNewsletters とアラートを購読するには: www.hpe.com/support/e-updates

• 資格の表示/更新、契約書と保証をプロファイルにリンクさせるには、HPE サポートセンタにアクセスしてください。:

www.hpe.com/support/AccessToSupportMaterials

IMPORTANT: 一部の更新プログラムにアクセスするには、HPE サポートセンタからアクセスする際に製品資格情報が必要な場合があります。HPE

Passport に関連する資格情報が設定されている必要があります。

4-3. Customer self repair ,,,カスタマの自己修復

Hewlett Packard Enterprise の CSR(カスタマセルフリペア)プログラムを使用すると、製品を修復できます。 CSR 部品を交換する必要がある場合は、お

客様の都合に合わせて取り付けることができるように、CSR 部品を直接お客様に出荷します。 一部の部品は CSR に適合しません。 修理が CSR によって

達成できるかどうかは、Hewlett Packard Enterprise の認定サービスプロバイダが判断します。

CSR の詳細については、地域のサービスプロバイダに問い合わせるか、CSR の Web サイトにアクセスしてください:

http://www.hpe.com/support/selfrepair

4-4. Remote support ,,,リモートサポート

保証または契約上のサポート契約の一環として、サポートされているデバイスでリモートサポートを利用できます。 インテリジェントなイベント診断、およびハードウ

ェアイベント通知の自動、安全な Hewlett Packard Enterprise への送信を提供します。これにより、製品のサービスレベルに基づいて迅速かつ正確な解

決が開始されます。Hewlett Packard Enterprise は、リモートサポート用にデバイスを登録することを強くお勧めします。

製品に追加のリモートサポート詳細が含まれている場合は、検索を使用してその情報を特定します。

リモートサポートとプロアクティブケア情報

• HPE Get Connected: www.hpe.com/services/getconnected

• HPE Proactive Care services: www.hpe.com/services/proactivecare

• HPE Proactive Care service: Supported products list: www.hpe.com/services/proactivecaresupportedproducts

• HPE Proactive Care advanced service: Supported products list:

www.hpe.com/services/proactivecareadvancedsupportedproducts

プロアクティブケア顧客情報

• Proactive Care central: www.hpe.com/services/proactivecarecentral

• Proactive Care service activation: www.hpe.com/services/proactivecarecentralgetstarted

4-5. Warranty information ,,,保証情報

製品の保証情報を表示するには、以下のリンクを参照してください。

• HPE ProLiant and IA-32 Servers and Options: www.hpe.com/support/ProLiantServers-Warranties

• HPE Enterprise and Cloudline Servers: www.hpe.com/support/EnterpriseServers-Warranties

• HPE Storage Products: www.hpe.com/support/Storage-Warranties

• HPE Networking Products: www.hpe.com/support/Networking-Warranties

4-6. Regulatory information ,,,規制情報

製品の規制情報を表示するには、HPE サポートセンタにあるサーバ、ストレージ、電源、ネットワーキング、およびラック製品の安全性および準拠に関する情報

を参照してください: www.hpe.com/support/Safety-Compliance-EnterpriseProducts

その他の規制情報

HPE は、REACH(欧州議会および理事会の規制 EC No 1907/2006)などの法的要件を遵守するために必要とされるように、製品の化学物質に関する

情報をお客様に提供することに努めています。 この製品の化学情報レポートは次の場所にあります: www.hpe.com/info/reach

RoHS および REACH を含む HPE 製品の環境および安全に関する情報および適合データについては、以下を参照してください:

www.hpe.com/info/ecodata

企業プログラム、製品リサイクル、およびエネルギー効率を含む HPE 環境情報については、以下を参照してください: www.hpe.com/info/environment

4-7. Documentation feedback ,,,ドキュメントのフィードバック

Hewlett Packard Enterprise は、お客様のニーズを満たすドキュメントを提供することをお約束します。 ドキュメンテーションの改善に役立てるため、エラ

ー、提案、またはコメントをドキュメンテーションのフィードバック(docsfeedback@hpe.com)に送ってください。 フィードバックを提出するときは、ドキュメントの

表紙にあるドキュメントのタイトル、製品番号、エディション、および出版日を記載してください。 オンラインヘルプのコンテンツには、法的通知ページにある製品

名、製品バージョン、ヘルプエディション、および発行日を記載してください。