デバイスの導入時には、組織ごとに設定されたすべてのセキュリティ ガイドラインに従うことが重要です。 たとえば、各デバイスに対し、記録や追跡がしやすく、なおかつ、ある程度のセキュリティを維持できるような名前を付けるというガイドラインが考えられます。 デバイスの用途に関する過剰な情報をホスト名に含めるのは賢明ではありません。 実施すべき基本的なセキュリティ対策は他にも数多くあります。
追加のパスワード セキュリティ
強力なパスワードも秘密にしなければ無意味です。 パスワードの秘密保持のために実行できる手順がいくつかあります。 グローバル コンフィギュレーション コマンド service password-encryption を使用すると、権限のない人物にはコンフィギュレーション ファイル内のパスワードがプレーンテキストで表示されなくなります(図を参照)。 このコマンドにより、暗号化されていないすべてのパスワードが暗号化されます。
また、設定されるすべてのパスワードが指定の長さ以上であることを保証するには、グローバル コンフィギュレーション モードで security passwords min-length コマンドを使用します。
ハッカーがパスワードを突き止めるもう 1 つの方法は、総当たり攻撃によって正しいものが見つかるまで何度もパスワード入力を試みるというものです。 このタイプの攻撃は、一定期間内でのデバイスへのログインの失敗が設定回数に達した場合にログイン試行をブロックすることによって、防ぐことができます。
Router(config)# login block-for 120 attempts 3 within 60
このコマンドは、60 秒以内にログイン試行に 3 回失敗すると、ログイン試行を 120 秒間ブロックします。
バナー
バナー メッセージは、不法侵入お断りの標識に似ています。 こうしたメッセージは、法廷で、システムに不正にアクセスするユーザを追求できるようにするうえで重要です。 バナー メッセージは組織のセキュリティ ポリシーに適合したものになるようにしてください。
Router(config)# banner motd #message#
Exec Timeout
もう 1 つの推奨事項は、実行タイムアウトを設定することです。 実行タイムアウトを設定すると、アイドル状態が exec timeout の値の期間続くとユーザの回線を自動的に切断するように、シスコ デバイスに指示できます。 実行タイムアウトは、コンソール、VTY、AUX の各ポートで設定できます。
Router(config)# line vty 0 4
Router(config-vty)# exec-timeout 10
このコマンドにより、ユーザは 10 分後に接続が切断されます。