Cisco IOS 特権レベル

    本ページは英語ドキュメントを翻訳したものです。

     


     

    Cisco IOS - 特権レベル前回のブログ、「10 月:全米サイバー セキュリティ啓発月間」では、暗号化されたパスワードを使用してルータの管理プレーンへのアクセスをロック ダウンすることの重要性をご紹介しました。 パスワードで認証が行われること、その際設定ファイル内のパスワードを暗号化することでプレーンテキストのまま表示されないようにすることなどをお伝えしました。 今回は、さまざまな特権レベルについて説明します。特権レベルを設定することで、セキュリティを大幅に強化することができます。 私はエキスパートとは言えないかもしれませんが、ここで使用するプラクティスは、新しいデバイスを設定する際の一般的なものです。 説明の中で足りない点がありましたら、ぜひコメントを記入して他のユーザと知識を共有してください。 まず、特権レベルとは何でしょうか。

     

    「特権レベルとは、ユーザがネットワーク デバイスにログインした後に発行できるコマンドを定義するためのものです」。

     

    現在、Cisco Internetwork Operating System(IOS)の特権レベルには、0 ~ 15 の 16 レベルがあります。 低い特権レベルのユーザは、高い特権レベルのユーザに比べてアクセスできるコマンドが限定されます。 わかりやすく山に例えて言えば、麓(レベル 0)にいるときは周りがほとんど見えません。 山頂(レベル 15)に向かって進むにつれて、全体がよく見えるようになります。つまり、レベル 15 以下に割り当てられたコマンドにアクセスできるようになるということです。 "show privilege" コマンドを使用すると、ユーザに現在割り当てられている特権レベルがわかります。次に 2 つの例を示します。

     

    Router>

    Router>show privilege

    Current privilege level is 1

    Router>

     

    "enable" と入力すると、上位の特権レベルが割り当てられます。 (その場合デフォルトでは、15 になります。また、"enable 15" コマンドを使用して、特権レベルを明示的に 15 へと上げることもできます)。

     

    Router>enable 15

    Router#

    Router#show privilege

    Current privilege level is 15

    Router#

     

    各特権レベルで "?" を入力すると、使用可能なコマンドのリストが表示されます。 レベル 15 とは対照的に、レベル 1 では特定のコマンドがないことがわかります。

     

    通常、事前に設定されているデフォルト レベルは 1 と 15 です。 レベル 1 は「読み取り専用」モードで、アクセスできるコマンドは限定されており、実行コンフィギュレーションを変更することはできません。レベル 15 ではすべての管理アクセスが与えられています。 中間はありません。全部あるか何もないか、のいずれかです。


    • レベル 15:"reload" コマンドなど、すべてのコマンドにアクセスできます。また設定の変更も可能です。
    • レベル 1:読み取り専用です。アクセスできるコマンドは "ping" などに限定されています。

     

    さて、ここからが面白くなります。特権レベルの 2 ~ 14 をカスタマイズして任意のロールを定義すれば、「中間」のレベルを作成できるのです。 次の例では、特権レベル 2 を有効にしてから、"ping" コマンドと "reload" コマンドの両方を再度割り当てます。


    • レベル 2読み取り専用です。ただし、"ping" を使用した接続テストや "reload" を使用したルータの再起動が可能です。


    Router>

    Router>enable 15

    Router#

    Router#configure terminal

    Router(config)#enable secret level 2 0 cisco123! (パスワード cisco123! を設定してレベル 2 を有効にしました)

    Router(config)#

     

    ここで、"ping" コマンドと "reload" コマンドをレベル 2 に再度割り当てます。

     

    Router(config)#privilege exec level 2 ping

    Router(config)#privilege exec level 2 reload

     

    変更を適用した後は、ユーザにレベル 2 以上の特権があれば、"ping" と "reload" を実行できるようになっているはずです。結果を確認してみましょう。

     

    Router>

    Router>show privilege

    Current privilege level is 1

    Router>ping

    Translating "ping"

    Translating "ping"

    Translating "ping"

    % Unknown command or computer name, or unable to find computer address(失敗しました。"ping" コマンドは使用できません。 このコマンドが機能する特権レベルの要件をあらかじめ変更していました。)

    Router>

     

    "enable 2" コマンドで特権レベルを明示的にレベル 2 に引き上げます。

     

    Router>

    Router>show privilege

    Current privilege level is 1

    Router>enable 2

    Password: パスワード "cisco123!" を入力します

    Router# (コマンド プロンプトが ">" から "#" に変わっています。きちんと特権レベル 2 が割り当てられているか、特権レベルを確認します)

    Router#show privilege

    Current privilege level is 2

    Router#ping

    Protocol [ip]:(成功です。"ping" コマンドを再び利用できるようになりました)

     

    まとめると最大の利点は、管理者が独自の特権レベルを定義し、ビジネス要件に基づいてロールを作成できるということです。 ユーザが利用できるコマンドを制限できるため、セキュリティが大幅に強化されます。 テスト ラボにアクセスできる場合は、"reload" コマンドを再割り当てし、結果を確認する演習を行ってください。 次回のブログでは、ユーザの作成方法と、これまで学んだことを活用して、管理プレーンのセキュリティを改善する方法を説明します。

     

    セキュリティについての詳細

     

    CLNBanner