Ciscoルータ ACLを使用したセキュリティ強化

Network

ACL (Access Control List) を使用して、悪意のある外部トラフィックを防御できます。

これにより、ネットワークのセキュリティを強化することができます。

使用するネットワーク機器は、Cisco 1812Jになります。

ACL (Access Control List) によるのセキュリティ対策

コマンドモード:グローバルコンフィグレーションモード。

外部からIPの成りすましによるパケットを拒否

Router(config)# access-list 150 deny ip 0.0.0.0 0.255.255.255 any

0.0.0.0/8:自分自身のネットワーク

Router(config)# access-list 150 deny ip 10.0.0.0 0.255.255.255 any

10.0.0.0/8:クラスA プライベートアドレス

Router(config)# access-list 150 deny ip 172.16.0.0 0.15.255.255 any

172.16.0.0/16:クラスB プライベートアドレス

Router(config)# access-list 150 deny ip 192.168.0.0 0.0.0.255 any

192.168.0.0/24:クラスC プライベートアドレス

Router(config)# access-list 150 deny ip 127.0.0.0 0.255.255.255 any

127.0.0.0/8:ループバックアドレス(自身を示すIPアドレス)

Router(config)# access-list 150 deny ip 169.254.0.0 0.0.255.255 any

169.254.0.0/8:リンクローカルアドレス(同一ネットワーク内のみ使用できるアドレス)

Router(config)# access-list 150 deny ip 224.0.0.0 15.255.255.255 any

224.0.0.0/4:マルチキャストアドレス (特定の複数のノードで共有されるアドレス)

Router(config)# access-list 150 deny ip 240.0.0.0 15.255.255.255 any

240.0.0.0/4:将来予約されたアドレス

外部からのNETBIOS / Windows共有サービスの要求を拒否

Router(config)# access-list 150 deny tcp any any range 137 139
Router(config)# access-list 150 deny tcp any range 137 139 any
Router(config)# access-list 150 deny udp any any range netbios-ns netbios-ss
Router(config)# access-list 150 deny udp any range netbios-ns netbios-ss any

外部からSSH / TELNET / HTTPのアクセスの拒否

Router(config)# access-list 150 deny tcp any any eq ssh
Router(config)# access-list 150 deny tcp any any eq telnet
Router(config)# access-list 150 deny tcp any any eq http

上記以外のパケットは許可

Router(config)# access-list 150 permit ip any any

外部インタフェースのインバウンド側にACLを適用

ここでは、外部インタフェースはfastEthernet0とします。

Router(config)# interface fastEthernet 0
Router(config-if)# ip access-group 150 in
Router(config-if)# end

設定の保存

Router# copy running-config startup-config

確認例

作成したACLが機能しているかの確認は、show access-listコマンドを使用します。

Router#sh access-list
 Extended IP access list 100
     10 permit ip 192.168.0.0 0.0.0.255 any (1125417 matches)
 Extended IP access list 150
     10 deny ip 0.0.0.0 0.255.255.255 any
     20 deny ip 10.0.0.0 0.255.255.255 any (154 matches)
     30 deny ip 127.0.0.0 0.255.255.255 any
     40 deny ip 169.254.0.0 0.0.255.255 any
     50 deny ip 172.16.0.0 0.15.255.255 any (52 matches)
     60 deny ip 192.168.0.0 0.0.0.255 any (69 matches)
     70 deny ip 224.0.0.0 15.255.255.255 any
     80 deny ip 240.0.0.0 15.255.255.255 any
     90 deny tcp any any range 137 139
     100 deny tcp any range 137 139 any
     110 deny udp any any range netbios-ns netbios-ss
     120 deny udp any range netbios-ns netbios-ss any
     170 deny tcp any any eq telnet (56 matches)
     175 deny tcp any any eq 22 (55 matches)
     176 deny tcp any any eq www (41 matches)
     180 permit ip any any (4789999 matches)
 Extended IP access list 160
 Router#

例えば、170 deny tcp any any eq telnet (56 matches) という行は、外部からTelnet接続を試みたが、56回拒絶されたということを意味しています。

また、matchesとは、外部からのトラフィックがこのACLルールに合致するとカウントされます。

内部ネットワークは、常に外部ネットワークからの脅威に晒されるので、最低限のACLを設定して、セキュリティを強化することをお勧めします。

タイトルとURLをコピーしました