今までルータへのアクセス制限については特に話をしていませんでした。設定例の中では最低限の設定としてログインパスワードと管理パスワードの設定は記載していました。今回はルータへのアクセス制限などのセキュリティ設定を紹介します。
ログインパスワードと管理パスワード
■ログインパスワード
ログインパスワードはルータに一般ユーザとしてログインするためのパスワードになります。
# login password Old_Password:(今まで利用していたパスワード) New_Password:(新しいパスワード) New_Password:(新しいパスワード) # save
上記は平文でパスワードを保存していますが、暗号化して保存する場合は下記になります。
# login password encrypted Old_Password:(今まで利用していたパスワード) New_Password:(新しいパスワード) New_Password:(新しいパスワード) # save
■管理パスワード
管理パスワードはルータの設定変更を行うための管理ユーザのパスワードです。ログインパスワードと同じでパスワードの保存は平文と暗号化の2つあります。
平文での設定は
# administrator password Old_Password:(今まで利用していたパスワード) New_Password:(新しいパスワード) New_Password:(新しいパスワード) # save
になります。
暗号化での設定は
# administrator password encrypted Old_Password:(今まで利用していたパスワード) New_Password:(新しいパスワード) New_Password:(新しいパスワード) # save
になります。
ログインパスワードと管理パスワードを変更した時の「show config」の結果です。
ログインパスワードは暗号化、管理パスワードは平文でパスワードを設定しています。管理ユーザで「show config」で確認してもセキュリティの観点からパスワードを画面上で確認することはできません。
セキュリティクラス
セキュリティクラスはルータへのアクセスとパスワードに対する制限を設定します。
設定方法は
# telnetd host (設定値)
となります。設定値について一覧にまとめてみます。
設定値 | 設定内容 | 設定例 |
IPアドレス | 指定された1個のIPアドレスまたは 範囲指定したIPアドレスからのアクセスを 許可します。 |
192.168.1.10 192.168.1.10-192.168.1.20 |
any | 全てのホストからのアクセスを 許可します。 |
any |
none | 全てのホストからのアクセスを 禁止します。 |
none |
LAN インタフェース名 |
指定したLANのインタフェースの接続のみ 許可します。 |
lan1 |
いくつか設定例を記載致します。
■複数のIPアドレスを登録
# telnetd host 192.168.1.10 192.168.1.15
登録するIPアドレスとIPアドレスの間はスペースで区切ります。
■範囲指定で登録
# telnetd host 192.168.1.1-192.168.1.254
範囲指定するIPアドレスの始まりと終わりの間は「-(ハイフン)」で区切ります。
■LAN1のみアクセス許可
# telnetd host lan1
LAN1ポートに接続されているIPアドレスからのみ接続を許可します。
HTTPのアクセス制限
最新の機種ではWEBからルータの設定ができます。設定値についてはTELNETのアクセス制限と同じになります。設定方法と設定例を記載します。
■設定方法
# httpd host (設定値)
になります。
■複数のIPアドレスを登録
# httpd host 192.168.1.10 192.168.1.15
■範囲指定で登録
# httpd host 192.168.1.1-192.168.1.254
まとめ
ルータ設定をする時にログインパスワードや管理パスワードの設定は皆さん必ず行うと思います。しかしルータにアクセスするIPアドレス制限や特にセキュリティクラスについては初期値のまま利用する人が多いのではないでしょうか。初期値では外部からルータに対してアクセスできないようになっていますが、TELNETやHTTPのアクセス制限を確認・設定することはとても重要です。今からでも遅くはありません。今、設定されている内容を見直してみてはいかがでしょうか。