Nedia What's up!

ネディアのエンジニアによるIT技術やサービスの紹介・検証などをお届け!

YAMAHAルータの実機・検証 第13回 ルータへのアクセス制限


今までルータへのアクセス制限については特に話をしていませんでした。設定例の中では最低限の設定としてログインパスワードと管理パスワードの設定は記載していました。今回はルータへのアクセス制限などのセキュリティ設定を紹介します。

ログインパスワードと管理パスワード

■ログインパスワード
ログインパスワードはルータに一般ユーザとしてログインするためのパスワードになります。

上記は平文でパスワードを保存していますが、暗号化して保存する場合は下記になります。

■管理パスワード
管理パスワードはルータの設定変更を行うための管理ユーザのパスワードです。ログインパスワードと同じでパスワードの保存は平文と暗号化の2つあります。
平文での設定は

になります。
暗号化での設定は

になります。
ログインパスワードと管理パスワードを変更した時の「show config」の結果です。
security-1ログインパスワードは暗号化、管理パスワードは平文でパスワードを設定しています。管理ユーザで「show config」で確認してもセキュリティの観点からパスワードを画面上で確認することはできません。

セキュリティクラス

セキュリティクラスはルータへのアクセスとパスワードに対する制限を設定します。
設定方法は

となります。項目が「ログイン許可レベル」「パスワード」「TELNETクライアント」の3つに分かれており、それぞれの設定値を指定します。

■ログイン許可レベル
各レベルの一覧です。

ログイン許可レベル
設定値
シリアルポート
からのログイン
TELNET
からのログイン
遠隔地ルータ
からのログイン
1
2 ×
3 × ×

例えばログイン許可レベルが3の場合、シリアルポートからの接続のみルータにログインすることができます。TELENTや遠隔地のルータからではログインはできません。

■パスワード
この設定はパスワードを忘れてしまってルータにログインできない時に、シリアルポートからの接続に限り、設定したパスワードの代わりに「w,lXlma」で管理ユーザとしてログインできるようにするか、しないかの設定です。

設定値 パスワードを忘れた時のログイン
on
off ×

設定値がoffの場合、パスワードを忘れた時はルータを初期化するしかありません。

■TELNETクライアント
TELNETクライアントとしてtelnetコマンドが使用できるようにするかしないかの設定です。

設定値 telnetコマンドの使用
on
off ×

これらを踏まえた上でセキュリティクラスの初期値は

となっています。ルータの管理や利便性を考えた中でお勧めの設定は

をお勧めします。セキュリティクラスの設定はそれぞれの環境あった設定を行いましょう。

TELNETのアクセス制限

ルータを設定する時はtelnetでアクセスして設定するケースが多いと思います。最新機種ではWEBからでも設定できますが、詳細な設定については今でもコマンドで設定するしかありません。TELNETでアクセスできる初期値の制限は全てのホストからのアクセスを許可しています。もし、ログインパスワードや管理パスワードを設定していない場合は簡単にログインされてしまい乗っ取られてしまいます。そこでTELNETのアクセス制限は必ず行いましょう。
設定方法は

となります。設定値について一覧にまとめてみます。

設定値 設定内容 設定例
IPアドレス 指定された1個のIPアドレスまたは
範囲指定したIPアドレスからのアクセスを
許可します。
192.168.1.10
192.168.1.10-192.168.1.20
any 全てのホストからのアクセスを
許可します。

any

none 全てのホストからのアクセスを
禁止します。
none
LAN
インタフェース名
指定したLANのインタフェースの接続のみ
許可します。
lan1

いくつか設定例を記載致します。

■複数のIPアドレスを登録

登録するIPアドレスとIPアドレスの間はスペースで区切ります。

■範囲指定で登録

範囲指定するIPアドレスの始まりと終わりの間は「-(ハイフン)」で区切ります。

■LAN1のみアクセス許可

LAN1ポートに接続されているIPアドレスからのみ接続を許可します。

HTTPのアクセス制限

最新の機種ではWEBからルータの設定ができます。設定値についてはTELNETのアクセス制限と同じになります。設定方法と設定例を記載します。
■設定方法

になります。

■複数のIPアドレスを登録

■範囲指定で登録

まとめ

ルータ設定をする時にログインパスワードや管理パスワードの設定は皆さん必ず行うと思います。しかしルータにアクセスするIPアドレス制限や特にセキュリティクラスについては初期値のまま利用する人が多いのではないでしょうか。初期値では外部からルータに対してアクセスできないようになっていますが、TELNETやHTTPのアクセス制限を確認・設定することはとても重要です。今からでも遅くはありません。今、設定されている内容を見直してみてはいかがでしょうか。