Dell EMC SmartFabric OS10 セキュリティ ベス ト プラクティス ガイド 2021 年 5 月 5 月 2021 年 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 ©2020 年 ~2021 年 Dell Inc.またはその関連会社。All rights reserved.(不許複製・禁無断転載)Dell、EMC、およびその他の商標は、Dell Inc.
目次 章 1: OS10 セキュリティのベスト プラクティス................................................................................... 4 最初の起動時........................................................................................................................................................................ 4 パスワード ルール...............................................................................................................................................................5 Federal Information Processing Standards(FIPS)...
1 OS10 セキュリティのベスト プラクティス このドキュメントでは、Dell EMC SmartFabric OS10 を実行するスイッチを保護するための推奨事項をまとめています。詳細な構成 については、『Dell EMC SmartFabric OS10 ユーザー ガイド』を参照してください。 Dell EMC のドキュメントは、https://www.dell.com/support/で入手できます。 [適用性] このドキュメントに記載されている推奨事項は、Dell EMC SmartFabric OS10.5.x.
[論拠]:ユーザーに Linux シェルへのアクセスを許可しない場合は、linuxadmin アカウントを無効にします。 [構成]: OS10(config)# system-user linuxadmin disable OS10(config)# exit OS10# write memory [Linux コマンドへのアクセスの無効化] [論拠] :linuxadmin ユーザーを無効化した場合でも、ユーザーは system コマンドを使用して Linux コマンドにアクセスできま す。Linux コマンドへのアクセスを完全に無効にするには、system-cli コマンドを使用します。 [構成]: OS10(config)# system-cli disable OS10(config)# exit OS10# write memory [使用していないインターフェイスの無効化] [論拠] :不正ユーザーがフロントエンド インターフェイス上のネットワークに接続できないようにするには、使用していないイン ターフェイスを無効にします。 [構成]: OS10(config)# interface range
デフォルトでは、強力なパスワードのチェックはシステムで有効化されており、no service simple-password コマンドは実 行中の構成で黙示的になっています。強力なパスワードのチェックを有効にしているかどうかを確認するには、次のコマンドを使 用します。 OS10(config)# do show running-configuration | grep simple service simple-password [強力なパスワードの強制] [論拠] :デフォルトでは、構成するパスワードは 9 文字以上の英数字と特殊文字を含んでいる必要があります。さらにパスワード の強度を上げるには、異なる文字の組み合わせを使用し、パスワードを長くするようユーザーに強制します。 [構成]: OS10(config)# password-attributes {[min-length number] [character-restriction {[upper number] [lower number][numeric number] [special-char number]}} OS10(config)#
システムで FIPS が有効になっているかどうかを確認するには、次のコマンドを使用します。 OS10# show fips status FIPS mode: Disabled セキュア ブートの有効化と構成 OS10 セキュア ブートにより、OS10 イメージの信頼性と整合性を検証するためのメカニズムが提供されます。セキュア ブートで は、起動プロセス中に悪意のあるコードが読み込まれて実行されないようにシステムを保護します。セキュア ブート機能を使用し て、インストール中およびいつでもオン デマンドで OS10 イメージを検証します。 [セキュア ブートの有効化] [論拠] :セキュア ブート機能を有効にすると、侵害されたカーネルとシステム バイナリーが起動操作中にロードされるのを防ぐ ことができます。 [構成]: OS10(config)# secure-boot enable OS10(config)# exit OS10# write memory [スタートアップ構成ファイルの保護] [論拠] :スタートアップ構成ファイルを保護することで、現在のスタートアップ設定ファイルの保護されたコピーを内部
メモ: セキュア ブートが有効になっている場合は、image secure-install コマンドを使用した場合にのみ、OS10 のアッ プグレードを行うことができます。 [ONIE OS 手動インストール前の OS10 イメージの検証] [論拠]:セキュア ブートが有効になっていて、ONIE を使用して OS10 イメージを手動でインストールする場合は、PKI または SHA256 を使用してイメージを検証できます。 [構成]: OS10# onie-nos-install image_url pki signature_filepath certificate_filepath または OS10# onie-nos-install image_url sha256 signature_filepath [ セキュア ブートの有効化とファイルの整合性ステータスのチェック] 次のコマンドを使用して、セキュア ブート操作のステータスとファイルの整合性ステータスをチェックします。 OS10# show secure-boot status Last boot was via secure boot : yes
secadmin:パスワードの強度、AAA 認証、暗号形式キーなどのセキュリティ ポリシーとシステム アクセスを設定す る、構成コマンドへのフル アクセスが可能です。セキュリティ管理者は、暗号形式キー、ログイン統計情報、ログ情報 などのセキュリティ情報を表示できます。 ■ netadmin:ルート、インターフェイス、ACL など、スイッチ経由のトラフィックの流れを管理する構成コマンドへの フル アクセスが可能です。ネットワーク管理者は、セキュリティ機能の構成コマンドにアクセスすることも、セキュリ ティ情報を表示することもできません。 ■ netoperator:現在の構成を表示するために EXEC モードにアクセスします。ネットワーク オペレーターは、スイッ チの構成設定を変更することはできません。 ○ priv-lvl privilege-level:権限レベルを 0~15 の範囲で入力します。 ■ レベル 0:ユーザーに最低限の権限を与え、基本的なコマンドへのアクセスを制限します。 ■ レベル 1:一連の show コマンドや、ping、traceroute などの特定の操作へのアクセスを提供します。 ■
[論拠]:MAC アドレス学習制限の方式を使用すると、インターフェイス上で許可される MAC アドレスの上限値を設定できます。 MAC アドレスを制限することで、スイッチを MAC アドレス フラッディング攻撃から保護します。インターフェイス上で構成され た制限に達すると、デフォルトでは、システムは不明なデバイスからのすべてのトラフィックをドロップします。インターフェイ スでポート セキュリティを有効にした後、インターフェイスは、デフォルトで 1 個のセキュア MAC アドレスを学習できます。こ の制限は、セキュア ダイナミック MAC アドレスとセキュア スタティック MAC アドレスの両方に適用されます。 [構成]: 1. CONFIGURATION モードでシステムのポート セキュリティを有効にします。 OS10(config)# switchport port-security 2.
[スティッキー MAC アドレスの構成] [論拠]:システムを再ロードすると、ポート セキュリティは動的に学習したセキュア MAC アドレスを削除します。スティッキー 機能を使用して、動的に学習したセキュア MAC アドレスをシステムの再起動後も保持できます。これにより、インターフェイス がこれらの MAC アドレスを再び学習する必要がなくなります。 [構成]: INTERFACE PORT SECURITY モードで、次のコマンドを入力します。 sticky メモ: スティッキー MAC アドレスの学習を有効にする前に、インターフェイスが mac-learn limit コマンドを使用して学 習できる MAC アドレスの数を制限するようにしてください。 [ スティッキー MAC アドレスの構成例] OS10# configure terminal OS10(config)#interface ethernet 1/1/1 OS10(config-if-eth1/1/1)#switchport port-security OS10(config-if-port-sec)#no disable OS10(con
● MAC 移動違反時に、MAC アドレスを学習した元のインターフェイスをシャット ダウンするには、shutdown-original オプ ションを使用します。 OS10(config-if-port-sec)#mac-move violation shutdown-original ● 別のインターフェイスによってすでに学習されている MAC アドレスを検出したインターフェイスをシャット ダウンするに は、shutdown-offending オプションを使用します。 OS10(config-if-port-sec)#mac-move violation shutdown-offending ● 元のインターフェイスと、問題のあるインターフェイスの両方をシャット ダウンするには、 shutdown-both オプションを 使用します。 OS10(config-if-port-sec)#mac-move violation shutdown-both [有効かつ実行中のポート セキュリティ機能の確認] すべてのインターフェイスでポート セキュリティが有効になっているかどうかを確認するには、次のコマンドを使用
[フォールバック オプションを使用した AAA ログイン認証の有効化] [論拠] :フォールバック オプションを使用した AAA 認証の構成により、認証時に耐久性が提供されます。1 つの方法で障害が発生 した場合、システムは他の認証方法を使用します。 [構成]: OS10(config)# aaa authentication login {console | default} {local | group radius | group tacacs+} OS10(config)# exit OS10# write memory ● console:コンソール ログインの認証方法を構成します。 ● default:SSH および Telnet ログインの認証方法を構成します。 ● local:username password role コマンドで構成されたローカル ユーザー名、パスワード、役割エントリーを使用しま す。 ● group radius:radius-server host コマンドで構成された RADIUS サーバーを使用します。 ● group tacacs+:tacacs-server h
[AAA 再認証または有効モードの有効化] [論拠] :ユーザーがリソースにアクセスできないようにしたり、ユーザーが実行できないタスクを実行したり、認証方法またはサ ーバーの変更時にログによるユーザーの再認証を要求したりすることができます。 [構成]: OS10(config)# aaa re-authenticate enable [RADIUS 認証の構成] [論拠] :従来の RADIUS ベースのユーザー認証は UDP を介して実行され、安全な通信のために MD5 メッセージダイジェスト アル ゴリズムが使用されます。RADIUS ユーザー認証交換のセキュリティを強化するため、RFC 6614 では、トランスポート レイヤー セ キュリティ(TLS)プロトコルを使用して RADIUS を定義します。RADIUS over TLS は、認証交換全体を TLS 接続で保護し、セキ ュリティを強化します。 [構成]: OS10(config)# radius-server host {hostname | ip-address} tls security-profile profile-name [auth
● authentication-key: (オプション)サーバー上のスイッチを認証するために使用する認証キーを入力します。最大 42 文字 です。デフォルトは radius_secure です。 [TACACS+認証応答タイマーの構成] [論拠]:TACACS+サーバーからの認証応答を待機するために使用するグローバル タイムアウトを構成します。待機時間が長くな るのを防ぐため、小さい値を構成します。 [構成]: OS10(config)# tacacs-server timeout seconds OS10(config)# exit OS10# write memory seconds:TACACS+サーバーからの認証応答を待機するために使用されるタイムアウト時間を、1~1000 秒の範囲で入力します。 [RBAC 構成の表示] システムで構成された RBAC を表示するには、次のコマンドを使用します。 OS10# show running-configuration aaa aaa authentication login default group radius local aaa authentic
[コンカレント ログイン セッションの制限] [論拠]:同じユーザー ID で 1 台のスイッチ上のアクティブ セッション数が無制限にならないようにするため、コンソールとリモ ート接続の数を制限します。 [構成]: OS10(config)# login concurrent-session limit-number OS10(config)# exit OS10# write memory limit-number:任意のユーザーがコンソールまたは仮想端末の回線で使用できるコンカレント セッションの数を指定します(1 ~12)。 [ユーザーのロックアウトの確認] [論拠] :指定された回数のログイン試行が失敗した後に、ユーザーが特定の時間にわたってシステムにログ インできないようにシ ステムを構成します。 [構成]: OS10(config)# password-attributes max-retry number lockout-period minutes OS10(config)# exit OS10# write memory ● max-retry number: (オプション)ユーザーがロック
OS10(config)# exit OS10# write memory SNMP ルール Simple Network Management Protocol(SNMP)へのアクセス制限により、SNMP を使用する際のデバイスのセキュリティが向上し ます。 [特定の SNMP コミュニティーへの読み取り/書き込みアクセスの禁止] [論拠] :単一または複数の SNMP コミュニティーへの読み取り/書き込みアクセスを禁止して、不正なエンティティーがデバイス をリモートで操作できないようにします。 [構成]: OS10(config)# no snmp-server community community_string {ro | rw} OS10(config)# exit OS10# write memory [ACL なしの SNMP へのアクセスを禁止] [論拠] :ACL が構成されていない場合、有効な SNMP コミュニティー文字列を持つユーザーは誰でもシステムにアクセスでき、不 要な変更を加える可能性があります。信頼できるステーションの許可されたグループのみがシステムへの SNMP アクセスを
○ group-name:グループの名前を入力します。最大 32 文字の英数字です。 ○ v3 security-level:SNMPv3 では、オプションで SNMP メッセージのユーザー認証と暗号化を行うことができます。 snmp-server user コマンドで構成します。 ○ security-level:(SNMPv3 のみ)SNMPv3 ユーザーのセキュリティ レベルを構成します。 ■ auth:SNMP メッセージでユーザーを認証します。 ■ noauth:ユーザーの認証や SNMP メッセージの暗号化を行いません。メッセージをプレーン テキストで送信します。 ■ priv:ユーザーの認証、SNMP メッセージの暗号化または復号化を行います。 ○ access acl-name(オプション)IPv4 または IPv6 アクセス リストの名前を入力して、スイッチで受信した SNMP リクエ ストをフィルタリングします。最大 16 文字です。 ○ read view-name:(オプション)読み取り専用ビューの名前を入力します。最大 32 文字です。 ○ write view-name:(オプショ
ログ ルール ログを使用して、エラーや情報の通知、セキュリティ監査、ネットワーク フォレンジックを行うことができます。 [コンソールでのログの有効化] [論拠] :コンソールへのログ記録を有効にし、ログ メッセージがシステム パフォーマンスに影響しないように、重大度を「重要」 に制限します。 [構成]: OS10(config)# logging console enable OS10(config)# logging console severity log-crit OS10(config)# exit OS10# write memory [TLS 経由での Syslog サーバーへのログの有効化] [論拠]:Syslog サーバーへのログを有効にし、TLS で接続を保護します。 [構成]: OS10(config)# logging server {hostname | ipv4–address | ipv6–address} tls [port-number] [severity severity-level] [vrf {management | vrf-name] OS10(config)# e
NTP ルール Network Time Protocol(NTP)は、分散タイム サーバーとクライアントのセットでの計時を同期し、大規模で多様なネットワーク 内での時間分布を調整します。NTP クライアントは、正確に時間を測定する NTP サーバーと同期します。 [信頼できる NTP サーバーの構成] [論拠]:信頼できる NTP サーバーと時間を同期するようにシステムを構成します。 [構成]: OS10(config)# ntp server ntp1-server-ip-address OS10(config)# exit OS10# write memory ntp1-server-ip-address:NTP サーバーの IPv4 アドレスを A.B.C.
[構成]: OS10(config)# interface loopback 0 OS10(config)# exit OS10# write memory [複数のループバック インターフェイスの削除] [論拠]:複数のループバック インターフェイスが構成されていないことを確認します。 [構成]: OS10(config)# no interface loopback loopback-instance OS10(config)# exit OS10# write memory [AAA サービスのループバック インターフェイスへのバインド] [論拠]:AAA サービスはループバック インターフェイスにバインドされるため、AAA サービスが中断されることはありません。 [構成]: OS10(config)# ip tacacs source-interface loopback 0 OS10(config)# exit OS10# write memory [NTP サービスのループバック インターフェイスへのバインド] [論拠]:NTP サービスはループバック インターフェイスにバインドされるため、AAA
[構成]: OS10(config)# ip access-list deny-private-external OS10(config-ipv4-acl)# deny ip source-ip-address mask any log OS10(config-ipv4-acl)# end OS10# write memory [アウトバウンド トラフィックでの外部ソース アドレスの禁止] [論拠]:アウトバウンド トラフィックが、組織の IP アドレス範囲の有効な内部アドレスのみを使用していることを確認します。 [構成]: OS10(config)# ip access-list deny-source-external OS10(config-ipv4-acl)# permit ip internal-ip-address mask any OS10(config-ipv4-acl)# exit OS10(config)# interface ethernet 1/1/1 OS10(conf-if-eth1/1/1)# ip access-group deny-source-external in OS1
ip ospf message-digest-key 2 md5 sample12345 ... [プロキシ ARP の無効化] [論拠] :プロキシ ARP は、ネットワークに存在しないデバイスの MAC アドレスを取得するために、他のデバイスの代わりにネッ トワーク デバイスが使用する技術です。ネットワーク デバイスが正しく構成されていないと、DoS 攻撃を受ける可能性がありま す。 [構成]: OS10(config)# interface interface-name OS10(conf-if-eth1/1/1)# no ip proxy-arp OS10(conf-if-eth1/1/1)# end OS10# write memory X.509v3 証明書 OS10 は、スイッチとホスト(RADIUS サーバーなど)との間の通信を保護するために、X.509v3 証明書をサポートします。スイッ チとサーバーの両方が、認証局(CA)によって発行された署名済みの X.
○ validity days:証明書の有効日数を入力します。CSR には有効性は関係ありません。自己署名証明書の場合、デフォル トは 3650 日または 10 年です。 ○ length bit-length:キーワードの長さのビット値を入力します。FIPS モードでは、値の範囲は 2048~4096 です。非 FIPS モードでは、値の範囲は 1024~4096 です。FIPS モードと非 FIPS モードのデフォルト キーの長さは 2048 ビットです。 FIPS モードのキーの長さの最小値は 2048 ビットです。非 FIPS モードのキーの長さの最小値は 1024 ビットです。 ○ altname altname:組織の代替名を入力します。例えば、altname IP:192.168.1.100 などの IP アドレスを使用でき ます。 ● CSR を CA サーバーにコピーします。 OS10# copy home://DellHost.pem scp:///file-path/DellHost.
Not After : Jul 22 19:11:19 2028 GMT Subject: C = US, ST = California, L = Santa Clara, O = Dell EMC, OU = Networking, CN = Dell_host1_CA1 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:e7:81:4b:4a:12:8d:ce:88:e6:73:3f:da:19:03: c6:56:01:19:b2:02:61:3f:5b:1e:33:28:a1:ed:e3: 85:bc:56:fb:18:d5:16:2e:a0:e7:3a:f9:34:b4:df: 37:97:93:a9:b9:94:b2:9f:69:af:fa:31:77:68:06: 89:7b:6d:fc:91:14:4a:c8:7b:23:93:f5:44:5a:0a: 3f:ce:9b:af:a6:9b:49:29:fd:fd:cb:34:40:c4:02: 30:9
State or Province Name (full name) [Some-State]:California Locality Name (eg, city) []:San Francisco Organization Name (eg, company) []:Starfleet Command Organizational Unit Name (eg, section) []:NCC-1701A Common Name (eg, YOUR name) [hostname]:S4148-001 Email Address []:scotty@starfleet.com 2.
53:52:0c:4d:05:ed:31:23:79:44:5c:d7:62:01:9d: 41:e8:ff:3a:b0:35:0c:22:d7:ef:df:05:9a:28:6b: 95:10:8e:bc:c6:62:3a:82:30:0f:4f:4e:19:17:48: f1:bd:1e:0c:4f:54:03:42:f3:a7:de:22:40:3d:5e: 6b:b2:8e:23:17:53:ef:10:d9:ae:1d:1f:d6:e4:ae: 25:9f:d9:39:60:5c:49:b0:ad Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: DA:39:A3:EE:5E:6B:4B:0D:32:55:BF:EF:95:60:18:90:AF:D8:07:09 X509v3 Subject Alternative Name: DNS:dell.domain.
Processing file ... issuer=C=US,O=Network Solutions L.L.C.,CN=Network Solutions Certificate Authority.0.crl.pem lastUpdate=Jul 7 04:15:08 2019 GMT nextUpdate=Jul 11 04:15:08 2019 GMT OS10# show crypto crl -------------------------------------| Manually installed CRLs | -------------------------------------Network_Solutions_Certificate_Authority.0.crl.
● CONFIGURATION モードでアプリケーション固有のセキュリティ プロファイルを作成します。 OS10(config)# crypto security-profile profile-name ● 証明書とプライベート キーのペアを SECURITY-PROFILE モードでセキュリティ プロファイルに割り当てます。 certificate-name には、show crypto certs 出力に表示される証明書キー ペアの名前を.
[論拠] :ユーザーは強力で複雑なパスワードを使用してデバイスに安全にアクセスすることができますが、ユーザーはパスワード を書き留めたり、安全でない場所に保管したりする傾向があります。SSH にスマート カードを使用すると、セキュリティが強化さ れ、ユーザーは複雑なパスワードを記憶する必要がなくなります。 OS10 SSH サーバーにより、パスワードありとなしの 2 種類の形式で X.509v3 スマート カード認証がサポートされます。パスワー ドを使用して X.509v3 認証を使用する場合、RADIUS または TACACS+認証を使用したリモート認証とともに、X.509v3 認証を使用 できます。 [パスワードを使用したリモート ユーザー認証] X.509v3 SSH 認証、および RADIUS または TACACS+を使用したリモート認証を行うようにスイッチを構成する場合、SSH を使用 して接続すると、次のシーケンスが発生します。 1. システムまたはキーボードのカード リーダー スロットに、CAC または PIV スマート カードを挿入します。 2. RFC 6187 X.
2. RFC 6187 X.509v3 互換 SSH クライアント アプリケーションを起動して、認証をスマート カードまたは CAC に設定し、OS10 スイッチへの接続を確立します。 3. SSH クライアント アプリケーションは、スイッチへの初期接続を確立し、X.509v3 認証をネゴシエートして、OS10 スイッチ X.509v3 証明書を検証します。 4. SSH クライアント アプリケーションによって、CAC または PIV カードから必要な認証証明書を選択するよう促されます。 5. SSH クライアント アプリケーションによって、CAC または PIV カードの PIN の入力を求めるプロンプトが表示されます。 6. SSH クライアントアプリケーションにより、X.509v3 証明書を使用して認証リクエストが送信されます。 7. OS10 SSH サーバーは、公開証明書を検証します。これには、信頼できるチェーン、有効な日付範囲、使用状況フィールドの検 証が含まれます。フィールドのいずれかが無効な場合、認証は失敗します。 8.
● 証明書が構成されていないユーザーのために、プレーン パスワード認証を有効のままにしておきます。 ip ssh server password-authentication ● ユーザーが SSH 公開キーのパスワードレス認証を代わりに使用する必要がある場合は、プレーン公開キー認証を有効のままに しておいてください。 ip ssh server pubkey-authentication ● ユーザーの X.509v3 証明書の詳細を構成して、SSH サーバーがユーザーの証明書をアカウントと照合できるようにします。 username username certificate subject “x509v3-subject-string” or username username certificate principal-name user-principal-name-string or username username certificate fingerprint fingerprint-value フル スイッチ モードの OS10 10.4.3.
[スイッチ B:] Switch-B# show switch-operating-mode 8713-ToR-2# Switch-Operating-Mode : Full Switch Mode 3. VLT が収束していることを確認します。 [スイッチ A:] Switch-A# show vlt 255 Domain ID : 255 Unit ID : 1 Role : primary Version : 2.
● validity days :証明書の有効日数を入力します。自己署名証明書の場合、デフォルトは 3650 日です。 ● length bit-length :キーワードの長さのビット値を入力します。FIPS モードでは、値の範囲は 2048~4096 です。非 FIPS モードでは、値の範囲は 1024~4096 です。FIPS モードと非 FIPS モードのデフォルト キーの長さは 2048 ビットです。 FIPS モードのキーの長さの最小値は 2048 ビットです。非 FIPS モードのキーの長さの最小値は 1024 ビットです。 ● altname altname :組織の代替名を入力します。例えば、altname IP:192.168.1.100 などの IP アドレスを使用でき ます。 5.
[スイッチ A:] Switch-A(config-sec-profile)# certificate dell [スイッチ B:] Switch-B(config-sec-profile)# certificate dell 12. クラスターのセキュリティ プロファイルを作成します。 [スイッチ A:] Switch-A(config)# cluster security-profile DELL123 [スイッチ B:] Switch-A(config)# cluster security-profile DELL123 13.(リリース 10.4.3.x を実行している場合のみ)両方のデバイス上の/config/certs/ディレクトリーに store フォルダーを作成し ます。 Switch-A# system "sudo mkdir /config/certs/store" Switch-B# system "sudo mkdir /config/certs/store" 14.
Local System MAC address : 20:04:0f:21:9a:00 Role priority : 32768 VLT MAC address : 20:04:0f:21:9a:00 IP address : fda5:74c8:b79e:1::2 Delay-Restore timer : 90 seconds Peer-Routing : Disabled Peer-Routing-Timeout timer : 0 seconds VLTi Link Status port-channel1000 : up VLT Peer Unit ID System MAC Address Status IP Address Version ---------------------------------------------------------------------------------1 20:04:0f:20:86:00 up fda5:74c8:b79e:1::1 2.