私は数ヶ月前に新しいCisco SG300 10ポートギガビットイーサネットマネージドスイッチを購入しましたが、これは私の小規模ホームネットワークにとって最良の投資の1つでした。 シスコのスイッチには、ネットワークをきめ細かく制御するために設定できる非常に多くの機能とオプションがあります。 セキュリティの面で彼らの製品は際立っています。
そうは言っても、シスコのスイッチが箱から出してすぐに安全でないことは非常に興味深いことです。 それを差し込むとき、それはDHCPサーバからIPアドレスをつかむか、またはそれ自身にIPアドレス(通常192.168.1.254)を割り当て、ユーザ名とパスワードにciscoを使用します。 いいね!
ほとんどのネットワークは192.168.1.xネットワークIDを使用しているので、スイッチはネットワーク上の誰からでも完全にアクセス可能です。 この記事では、スイッチを接続した後にすぐに実行する必要がある5つの手順について説明します。 これにより、デバイスが安全で正しく設定されていることを確認できます。
注:この記事は、シスコのスイッチに慣れていない家庭または小規模オフィスのユーザを対象としています。 シスコのエンジニアなら、このすべてが非常に単純化されたものになるでしょう。
ステップ1 - デフォルトのユーザー名とパスワードを変更する
これは明らかに最初のステップであり、最も重要です。 スイッチにログインしたら、[ Administration ]を展開し、[ User Accounts ]をクリックします 。
あなたがしたいと思う最初の事はそれから元のciscoユーザアカウントを削除できるように別のユーザアカウントを追加することです。 必ず新しいアカウントにフルアクセス権を付与してください。これは、シスコ用語ではRead / Write Management Access(15)です。 強力なパスワードを使用してからciscoアカウントからログアウトし、新しいアカウントを使用してログインします。 これでデフォルトのアカウントを削除できるはずです。
設定したパスワードを忘れた場合に備えて、 パスワード回復サービスを有効にすることもお勧めです。 パスワードをリセットするには、デバイスへのコンソールアクセスが必要です。
ステップ2 - 静的IPアドレスを割り当てる
デフォルトでは、スイッチはすでに静的IPアドレスを持っているはずですが、持っていない場合は手動で設定する必要があります。 192.168.1のネットワークIDを使用していない場合も必要になります。 これを行うには、[ 管理] - [ 管理インターフェイス] - [ IPv4インターフェイス]を展開します。
[ IPアドレスの種類]で[ 静的]を選択し、静的IPアドレスを入力します。 これにより、スイッチの管理もはるかに簡単になります。 ネットワークのデフォルトゲートウェイがわかっている場合は、先に進み、それを[ Administrative Default Gateway]の下にも追加します 。
IPアドレスが仮想LANインターフェイスに割り当てられていることも注目に値します。つまり、スイッチでどのポートが接続されているかに関係なく、IPアドレスを使用してデバイスにアクセスできます。 。 デフォルトでは、これはVLAN 1であり、すべてのポートはデフォルトでVLAN 1にあります。
ステップ3 - ファームウェアをアップデートする
私の安価なNetgearルーターはインターネットでソフトウェアの更新をチェックし、それを自動的にダウンロードしてインストールすることができるので、あなたは空想のCiscoスイッチでも同じことができると思うでしょう。 しかし、あなたは間違っているでしょう! おそらくセキュリティ上の理由から、そうしないのですが、それでもまだ厄介です。
シスコ製スイッチを新しいファームウェアでアップデートするには、シスコのWebサイトからダウンロードしてからスイッチにアップロードする必要があります。 さらに、アクティブイメージを新しいファームウェアバージョンに変更する必要があります。 問題が発生した場合に備えて、この機能は少し保護されています。
新しいファームウェアを見つけるには、スイッチモデルの末尾に「firmware」と入力してください。 たとえば、私の場合は、Cisco SG300-10ファームウェアをグーグルしました。
シスコ製ルータのファームウェアをアップグレードする方法については、もう1つの記事を書きます。アップグレード前に知っておきたいことがいくつかあります。
ステップ4 - セキュアアクセスを設定する
次のステップとして、スイッチへの安全なアクセスのみを有効にすることをお勧めします。 あなたがコマンドラインプロであれば、あなたは本当にWeb GUIを完全に無効にしてSSHアクセスのみを有効にするべきです。 ただし、GUIインターフェイスが必要な場合は、少なくともHTTPではなくHTTPSを使用するように設定する必要があります。
スイッチへのSSHアクセスを有効にしてからpuTTYのようなツールを使用してログインする方法についての私の以前の投稿をチェックしてください。 さらにセキュリティを高めるために、SSHを使用した公開鍵認証をオンにして、秘密鍵を使用してログインすることができます。 IPアドレスで管理インターフェースへのアクセスを制限することもできます。これについては、今後の記事で説明します。
ステップ5 - 実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーする
シスコ製デバイスを使用するときに最後に慣れたいのは、実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーすることです。 基本的には、行ったすべての変更はRAMにのみ保存されます。つまり、デバイスを再起動すると、すべての設定が失われます。
設定を恒久的に保存するには、running configをstartup configにコピーする必要があります。後者はNVRAMまたは不揮発性RAMに保存されています。 これを行うには、 [管理 ]、[ ファイル管理 ]の順に展開し、[ 設定のコピー/保存 ]をクリックします 。
デフォルト設定は正しいはずなので、あなたがしなければならないのは適用をクリックすることだけです。 繰り返しますが、スイッチに何らかの変更を加えるときは必ずこれを行ってください。
これらは、スイッチを初期設定してセキュリティ保護するための基本的な設定手順です。 スイッチの他の側面については、もう少し高度なチュートリアルを掲載する予定です。 質問がある場合は、コメントしてください。 楽しい!
