[index] CentreCOM AR560S コマンドリファレンス 2.9

運用・管理/セキュリティー


  - セキュリティーモード/ノーマルモード
   - モードの変更
  - Remote Security Officer(RSO)
  - Managerレベルでのセキュリティータイマー


 

セキュリティーモード/ノーマルモード

本製品には、次の2つの動作モードがあります。

表 1
モード
動作
ノーマルモード デフォルトの動作モードです
セキュリティーモード より高いセキュリティーレベルを実現するためのモードです。ログインセキュリティーや管理コマンドの実行権が厳しく制限されます。ルーターの管理に関するセキュリティーを高めたい場合や、IPsecなどのセキュリティー機能を利用するときに使います


動作モードによってアクセスレベルの権限が変わります。ノーマルモード時、ManagerレベルとSecurity Officerレベルは同等の権限を持ちますが、セキュリティーモードでは多くの操作にSecurity Officer権限が必要となります。

表 2
レベル
デフォルトアカウント
ノーマルモード時の権限
セキュリティーモード時の権限
User なし ユーザー自身に関する設定などごく一部のコマンドのみ実行可能 ユーザー自身に関する設定などごく一部のコマンドのみ実行可能
Manager ユーザー名 manager/パスワード friend すべてのコマンドを実行可能 セキュリティーコマンドを除くすべてのコマンドを実行可能
Security Officer なし すべてのコマンドを実行可能 すべてのコマンドを実行可能


セキュリティーモード時には、以下のコマンドの実行にSecurity Officerの権限が必要となります。

 

モードの変更

セキュリティーモードに移行するためには、あらかじめSecurity Officerレベルのユーザーを作成しておく必要があります。セキュリティーモードに移行すると、Managerレベルは第2位の権限レベルに降格され、セキュリティーに関するコマンドを実行できなくなります。

  1. Security Officerレベルのユーザーを作成します。


  2. セキュリティーモードに移行すると、Telnet接続ではSecurity Officerレベルでログインできなくなる(他のレベルならログイン可)ので、必要に応じて後述するRSO(Remote Security Officer)の設定をしておきます。RSOは、あらかじめ指定したアドレスからのみセキュリティーモード時でもSecurity Officerレベルでのログインを許可する機能です。


  3. セキュリティーモードに移行するにはENABLE SYSTEM SECURITY_MODEコマンドを実行します。このコマンドを実行すると、ファイルシステム上に「enabled.sec」ファイルが作成されます。システム起動時に本ファイルが存在すればセキュリティーモードとなります。このファイルを削除したり、修正、編集、コピー、リネーム等を行わないでください。


■ 現在の動作モードを確認するにはSHOW SYSTEMコマンドを実行します。「Security Mode」がEnabledならセキュリティーモード、Disabledならノーマルモードです。

■ Security Officerレベルでログインしなおすと、コマンドプロンプトが「SecOff >」に変わります。

■ Security Officerレベルでログインすると、セキュリティータイマーがスタートします。このタイマーはセキュリティー関連コマンドを実行するたびにリセットされます。一定時間セキュリティーコマンドを実行しないとタイマーがタイムアウトし、ログインユーザーの権限はManagerレベルに格下げされます。格下げされた状態でセキュリティーコマンドを実行しようとすると、あらためてSecurity Officerレベルのパスワードを要求されます。

■ セキュリティータイマーのデフォルト値は60秒です。この値を変更するには、SET USERコマンドのSECUREDELAYパラメーターを使用します。


■ セキュリティーモード時にSET CONFIGコマンドで起動スクリプトを変更するときは注意が必要です。たとえば、SET CONFIG=NONEを実行すると、起動スクリプトは空になりますが、動作モードはセキュリティーモードのままになります。この状態でシステムを再起動すると、Security Officerレベルのユーザーが存在しないことになるため、多くのコマンドが実行できなくなります。このような状態になった場合は、DISABLE SYSTEM SECURITY_MODEコマンドを実行するしかありません。

■ ノーマルモードに戻るにはDISABLE SYSTEM SECURITY_MODEコマンドを実行します。このコマンドを実行すると、「enabled.sec」ファイルが削除されます。

 

Remote Security Officer(RSO)

セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。Remote Security Officer(RSO)は、信頼できる特定のIPアドレスに限ってSecurity OfficerレベルでのTelnetログインを許可する機能です。

  1. RSOアクセス(Security OfficerレベルでのTelnetログイン)を有効にするには、ENABLE USER RSOコマンドを使います。


  2. Security OfficerレベルでのTelnetログインを許可するアドレス(RSOアドレス)を追加するには、ADD USER RSOコマンドを使います。


    MASKパラメーターを使えば、許可するアドレスを範囲指定することもできます(サブネットなど)。省略時は32ビットマスク(単一ホストの指定)となります。


■ RSOアドレスを削除するにはDELETE USER RSOコマンドを使います。


■ RSOアドレスの一覧を見るにはSHOW USER RSOコマンドを使います。


■ RSOアクセスを無効にするにはDISABLE USER RSOコマンドを使います。


 

Managerレベルでのセキュリティータイマー

Managerレベルでログインしているときは、以下のコマンドがセキュリティーコマンドと見なされ、セキュリティーモード時と同様のセキュリティータイマーが適用されます。


これらのコマンドを実行するとセキュリティータイマーはリセットされます。これらのコマンドを一定時間(SET USERコマンドのSECUREDELAYパラメーター)実行しないとタイマーがタイムアウトし、次にこれらのコマンドを実行したときにパスワードの入力が求められます。規定回数(SET USERコマンドのMANPWDFAILパラメーター)ログインに失敗すると、強制的にログアウトさせられます(Telnetの場合はセッションが切断されます)。







(C) 2010-2014 アライドテレシスホールディングス株式会社

PN: 613-001314 Rev.G