参考訳

ArubaOS-Switch Hardening Guide for 16.06

ArubaOS スイッチのセキュリティ強化

https://support.hpe.com/hpsc/doc/public/display?docId=a00056155en_us

September, 2018

目次

1. Overview ,,,概要 ............................................................................................................................................................... 4

1-1. Operational assumptions ,,,運用の前提 ..................................................................................................................................... 4

1-2. Switch configuration overview ,,,スイッチ設定の概要 ............................................................................................................. 4

1-3. Switch prompts in examples ,,,ドキュメント事例のスイッチプロンプト ............................................................................ 4

1-4. Documentation and software ,,,ドキュメントとソフトウェア............................................................................................... 5

1-4-1. Documentation ,,,ドキュメンテーション ......................................................................................................................... 5

1-4-2. Downloading the latest ArubaOS-Switch software ,,,最新 ArubaOS スイッチソフトウェアのダウンロード .............. 5

1-4-3. Aruba AirWave ..................................................................................................................................................................... 5

2. Hardening Aruba switches ,,, Aruba スイッチのセキュリティ強化 ............................................................................. 6

2-1. System settings and services ,,,システム設定とサービス ....................................................................................................... 6

2-1-1. Time synchronization ,,,時間同期 ....................................................................................................................................... 6

2-1-2. Login banner ,,,ログインバナー......................................................................................................................................... 6

2-1-3. Switch identity profile ,,,スイッチの ID プロファイル ..................................................................................................... 6

2-1-4. Enhanced secure mode ,,,拡張セキュアモード ................................................................................................................ 7

2-1-5. Hiding sensitive data ,,,機密データの非表示 .................................................................................................................... 7

2-2. Insecure protocols and secure alternatives ,,,安全でないプロトコルと安全な代替案 ......................................................... 8

2-2-1. Telnet vs. Secure Shell ,,, Telnet vs SSH .............................................................................................................................. 8

2-2-2. HTTP vs. HTTPS.................................................................................................................................................................... 8

2-2-3. TFTP vs SFTP and SCP ,,, TFTP vs SFTP/SCP ........................................................................................................................ 9

2-2-4. SNMPv1 and v2c vs SNMPv3 ,,, SNMP v1/v2c vs SNMP v3 .................................................................................................. 9

2-3. Auditing and logging ,,,監査とロギング .................................................................................................................................. 10

2-4. Access control ,,,アクセス制御 ................................................................................................................................................ 11

2-4-1. Out-of-Band Management port ,,,アウトオブバンド管理ポート ................................................................................. 11

2-4-2. Management VLAN ,,,管理 VLAN ...................................................................................................................................... 12

2-4-3. Authorized IP managers ,,,認可された IP マネージャ ................................................................................................... 13

2-4-4. Access Control Lists ,,, ACL ............................................................................................................................................... 13

2-5. Authentication, Authorization, and Accounting ,,,認証,認可,アカウンティング ................................................................... 14

2-5-1. Local password authentication ,,,ローカルパスワード認証 ......................................................................................... 15

2-5-2. Local password complexity ,,,ローカルパスワードの複雑さ ....................................................................................... 15

2-5-2-1. Storing credentials in the switch configuration ,,,スイッチ設定に資格情報を保存 ................................................................................... 16 2-5-2-2. Failed authentication lockout ,,,失敗した認証のロックアウト.................................................................................................................. 16

2-5-3. Role-Based Access Control (RBAC) ,,,ロールベースのアクセス制御(RBAC) ................................................................. 16

2-5-4. RADIUS authentication ,,, RADIUS 認証 ............................................................................................................................ 17

2-5-5. TACACS authentication ,,, TACACS 認証 ........................................................................................................................... 17

2-5-6. RADIUS and TACACS+ authorization and accounting ,,, RADIUS/TACACS+の認可とアカウンティング ....................... 18

2-5-7. Server-supplied privilege level ,,,サーバ提供の特権レベル ......................................................................................... 18

2-5-8. Console inactivity timer ,,,コンソール非アクティブタイマ ......................................................................................... 19

2-6. Attack prevention ,,,アタック防止 ........................................................................................................................................... 19

2-6-1. Control Plane Policing ,,, CoPP .......................................................................................................................................... 19

2-6-2. Port security ,,,ポートセキュリティ .............................................................................................................................. 20

2-6-2-1. Port security auto-recovery,,,ポートセキュリティの自動回復 ................................................................................................................. 20

2-6-3. DHCP snooping ,,, DHCP スヌーピング ........................................................................................................................... 20

2-6-4. Dynamic ARP Protection ,,,ダイナミック ARP プロテクション ................................................................................... 21

2-7. Physical security ,,,物理的なセキュリティ ............................................................................................................................. 21

2-7-1. Front panel security ,,,フロントパネルのセキュリティ ............................................................................................... 21

2-7-2. USB port ,,, USB ポート .................................................................................................................................................... 22

2-8. MACsec ....................................................................................................................................................................................... 22

3. Websites ,,,ウェブサイト .............................................................................................................................................. 23

4. Support and other resources ,,,サポートおよびその他のリソース .......................................................................... 24

4-1. Accessing Hewlett Packard Enterprise Support ,,, HPE Support へのアクセス ...................................................................... 24

4-2. Accessing updates ,,,アップデートへのアクセス .................................................................................................................. 24

4-3. Customer self repair ,,,カスタマの自己修復 ........................................................................................................................... 24

4-4. Remote support ,,,リモートサポート ..................................................................................................................................... 24

4-5. Warranty information ,,,保証情報 ............................................................................................................................................ 25

4-6. Regulatory information ,,,規制情報 ......................................................................................................................................... 25

4-7. Documentation feedback ,,,ドキュメンテーションのフィードバック ............................................................................... 25

Appendix A: Local certificate authority with OpenSSL ,,,付録 A: OpenSSL を使用するローカル認証局 ....................... 26

1. Overview ,,,概要

ArubaOSスイッチは、エンタープライズエッジ、ディストリビューション/アグリゲーション層、および小規模コアの展開に適した一

連のソフトウェア機能を提供する、強力なインテリジェントネットワークスイッチのプラットフォームです。5400Rや 3810Mなどの

現在の ArubaOSスイッチモデルは、共通のコードベースと ASICアーキテクチャ、統合されたソフトウェア、使いやすい管理ツールの

統一されたセットで開発されています。

このホワイトペーパーで説明されているセキュリティ機能は、Arubaスイッチを強化するための優れた出発点であり、組織のより大き

なセキュリティポリシーのコンテキストで使用する必要があります。適切なセキュリティプラクティスでは、徹底的な脅威評価と徹底

的な防衛戦略に依存する包括的なセキュリティポリシーを組織に持たせることが求められます。セキュリティポリシーを作成した後

に、組織は Arubaスイッチに存在する多くのセキュリティ機能を最大限に活用できます。

1-1. Operational assumptions ,,,運用の前提

デバイス管理に熟練し、デバイス情報のセキュリティを確保し、デバイスの安全な運用のための訓練を受け、セキュリティ侵害を目

的とした故意の特権乱用をしないと確信できる、1人または複数の認可された管理者を割り当てます。

認可されたユーザは、デバイスのマニュアルに記載されている手順に従ってデバイスを正しく設置/設定/運用することができます。

信頼されていないユーザ、信頼できないソフトウェア、はコンポーネントサーバには存在しません。

スイッチは、認可された管理者だけが物理アプライアンスにアクセスできる物理的に安全な環境に設置する必要があります。

ユーザは認証データを保護します。

1-2. Switch configuration overview ,,,スイッチ設定の概要

スイッチを完全にセキュリティ強化された設定にするには、次の設定オプションを設定する必要があります。

Telnet for CLIおよびMenuインタフェースは無効にする必要があり、SSHを使用する必要があります。

標準的なWebブラウザ接続と REST-APIアクセスを使用した管理のための平文(非暗号化)によるWebアクセスは無効にする必要が

あります。Web管理インターフェースまたは REST APIへのアクセスが必要な場合は、代わりに SSL/TLSを使用してください。

組み込みの TFTPクライアントとサーバを無効にする必要があり、SFTPと SCPを有効にする必要があります。

SNMP によるリモート管理を使用する場合は、SNMP v1/v2cを無効にする必要があり、暗号化を使用する SNMP v3 を使用する必

要があります。

もし SNMP v1 や v2c を使用する必要がある場合は、デフォルトのコミュニティ名(public)を一意のコミュニティ名に置き換え

ます。

マネージャとオペレータのアクセスレベルには、パスワードが割り当てられている必要があります。

信頼できる外部認証サーバ(RADIUS や TACACS+)を使用して、識別と認証を処理するようにスイッチを設定した場合にのみ、完全

な個別ユーザの識別と認証が可能です。

コンソールの非アクティブ化タイマは、ゼロ以外の値に設定する必要があります。

コンソールセッションのロックアウトを有効にする必要があります。

スイッチの前面パネルには「パスワードクリア」と「ファクトリリセット」の 2つの物理ボタンがあります。デバイスを完全に保護

するには、両方を無効にする必要があります。

スイッチには、設定の展開/バックアップ、トラブルシューティング、ソフトウェアイメージのロードにフラッシュドライブの使用を

サポートする USBポートがあります。このポートは、使用していないときは無効にし、必要なときには一時的に有効にする必要があ

ります。

CoPP(制御プレーンポリシング)は、サポートされている場合は、特定のタイプのパケットをレート制限することによって、デバイス

CPUに対する DoS攻撃を防止する必要があります。

CAUTION: ArubaOSスイッチは、デフォルトで有効になっているパスワードリカバリ機能を提供します。Arubaでは、パスワードリ

カバリを無効にしないことを強く推奨します。もし無効にすると、ファクトリーリセットを有効にする必要があり、スイッ

チ管理者のユーザ名/パスワードをリカバリする機能が無効になります。この場合、失われた管理者のユーザ名/パスワード

の状況からリカバリする唯一の方法は、スイッチを出荷時のデフォルト設定にリセットすることです。これにより、ネット

ワークの動作が中断され、再設定の最中に不正アクセスやその他の問題が発生しないように、スイッチをネットワークから

一時的に切り離す必要があります。さらに、ファクトリーリセットを有効にすると、権限のないユーザ前面の Reset +

Clearボタンの組み合わせを使用してスイッチを出荷時のデフォルト設定に戻し、スイッチへの管理アクセス権を得ること

ができます。

1-3. Switch prompts in examples ,,,ドキュメント事例のスイッチプロンプト

この文書で使用されているスイッチプロンプトはサンプルであり、特定のスイッチまたは環境と一致しない可能性があります。

例：

スイッチプロンプトは「switch」文字列で始まります。

スイッチプロンプトは「コマンドコンテキスト」を示します。

例えば：

switch> ,,, これはオペレータ権限のコマンドコンテキストを示しています。

switch# ,,, これはマネージャ権限のコマンドコンテキストを示しています。

switch(config)＃ ,,, これはグローバルレベルの設定コンテキストを示しています。

ご使用の環境では、プロンプトがユーザ設定可能なため、スイッチのプロンプトが変わる可能性があります。

通常スイッチのプロンプトはスイッチのホスト名で始まります。

スイッチプロンプトには、インタフェース名や VLAN ID などの特定の設定コマンドによるコンテキストが含まれています。例えば

switch(config-vlan-100)＃

このような場合、このドキュメントの例では「n」や「if」などの代替文字列が含まれる場合があります。

1-4. Documentation and software ,,,ドキュメントとソフトウェア

1-4-1. Documentation ,,,ドキュメンテーション

ご使用のスイッチに関する最新のマニュアルは HPE Networking Information Libraryにあります。 これには、ユーザーガイド、ホワ

イトペーパー、およびケーススタディが含まれます。

1-4-2. Downloading the latest ArubaOS-Switch software ,,,最新 ArubaOS スイッチソフトウェアのダウンロード

HPE My Networking portalにアクセスして、スイッチモデルまたは製品番号を入力し、ソフトウェアダウンロードを選択して、スイ

ッチに適切なソフトウェアバージョンを見つけます。

PC、SFTP/SCPサーバ、もしくは USBメモリにソフトウェアバージョンをコピーします。

CLIの copyコマンドを使用して、ソフトウェアをサーバまたは USBメモリからスイッチにダウンロードするか、WebUI経由でアップ

ロードします。詳細な手順については、ご使用のスイッチモデルの HPE Networking Information Libraryから適切なユーザマニュア

ルをダウンロードしてください。

1-4-3. Aruba AirWave

Aruba AirWaveは、強力で使いやすいネットワーク運用システムであり、Arubaや広範な 3rdパーティ製の有線/無線インフラストラ

クチャを管理するだけでなく、ネットワーク上のデバイス、ユーザ、アプリケーションに細かい可視性を提供します。

2. Hardening Aruba switches ,,, Aruba スイッチのセキュリティ強化

今日のオール・デジタル・エンタープライズ・インフラストラクチャでは、セキュリティはますます注目されています。上位レベルの

管理者と IT管理者は、クリティカルなデータとインフラストラクチャの完全性と可用性に対する高い説明責任を果たします。ホストク

ライアントとサーバはセキュリティに関する議論の焦点となることが多いですが、スイッチ、ルータ、無線アクセスポイントなどのネ

ットワークデバイスのセキュリティも無視できません。クリティカルなエンタープライズデータはこれらのデバイスを横断し、それら

を適切に保護することは、安定した安全なインフラストラクチャにとって最重要です。

このドキュメントの目的は、ArubaOSスイッチのソフトウェアが提供する管理機能とプロトコルのセキュリティガイドラインとベスト

プラクティスを提供し、これらのベストプラクティスを実際に実証するためのサンプル設定を提示することです。この文書は、記載さ

れている機能やコマンドの包括的なリファレンスガイドではありません。このドキュメントで説明されている設定構文と高度な機能の

詳細については、HPE Networking Information Libraryから最新のソフトウェアマニュアルセットを入手してください。

2-1. System settings and services ,,,システム設定とサービス

2-1-1. Time synchronization ,,,時間同期

多くのセキュアプロトコルや監査機能は、管理されたネットワークの外部または内部(セキュリティ上の考慮が許せば)で、信頼できる時

間ソースと同期した(正しい)システムクロックを必要とします。これを実現する最も一般的に使用されるプロトコルの 1つは NTPで、

ローカルおよびインターネットホストサーバの両方を使用してネットワーク全体のシステム時間を同期させることができます。セキュ

アな管理プロトコルを有効にする前に、デバイスで NTPを設定して有効にする必要があります。

たとえば、NTP認証を使用し、ユニキャストモードで 10.100.1.254でローカル NTPサーバに接続するようにスイッチを設定するに

は、NTP認証を使用し、時刻同期モードを NTPに設定します。

switch(config)# timesync ntp

switch(config)# ntp unicast

switch(config)# ntp authentication key-id 1 authentication-mode sha1 key-value MySecretValue

switch(config)# ntp server 10.100.1.254

switch(config)# ntp enable

詳細については、ご使用のスイッチの「ArubaOS-Switch Management and Configuration Guide」の時間情報を参照してください。

2-1-2. Login banner ,,,ログインバナー

ログインプロセス中に表示されるバナーを設定すると、不正使用が禁止されていることをユーザに通知し、システムへのアクセスと使

用を監視してログに記録することができます。

以下は、ユーザがログインする前にスイッチに接続したときに表示されるMOTD(message of the day)バナーの作成例です (^文字を

使用してバナーの末尾を示します)。

switch(config)# banner motd ^

Enter TEXT message. End with the character '^'

switch(config-banner-motd)# This system is for authorized use only. Unauthorized or improper

switch(config-banner-motd)# use of this system may result in civil or criminal penalties. By

switch(config-banner-motd)# continuing to use this system you acknowledge your consent to

switch(config-banner-motd)# these conditions of use.

switch(config-banner-motd)# ^

詳細については「ArubaOS-Switch Basic Operating Guide」の「Getting Started」の「Configuring and displaying a nondefault

banner」を参照してください。

2-1-3. Switch identity profile ,,,スイッチの ID プロファイル

IDプロファイルを作成して、安全で暗号化されたプロトコルを使用してデバイスを識別して認証するために使用される一般的に使用さ

れるサブジェクト情報を定義することによって、暗号証明書と証明書署名要求(CSR)の生成が簡素化できます。ArubaOSスイッチは、

デバイスごとに 1つの IDプロファイルを保存します。新しいプロファイルを作成すると、既存のプロファイル(定義されている場合)が

上書きされます。

このコマンドは、ホスト名「switch」を持つデバイスの IDプロファイルの作成例です。

switch(config)# crypto pki identity-profile switch-id-profile subject common-name switch country us state California

locality Roseville org HPE org-unit Aruba

この IDプロファイルは、このガイドの後半で CA(証明書)や CSR(証明書要求)を生成する際に使用されます。

IDプロファイルが定義されていない場合は、CAや CSRを生成するたびに、必要なサブジェクト情報(デバイス共通名を含む)を指定す

る必要があります。プロファイルが存在する場合は、該当データを自動的に入力します。

詳細については「ArubaOS-Switch Access Security Guide」の「Certificate Manager」の「Switch identity profile」を参照してく

ださい。

2-1-4. Enhanced secure mode ,,,拡張セキュアモード

NOTE: 拡張セキュアモードは、2930、3810、および 5400Rスイッチシリーズでのみサポートされています。

ArubaOSスイッチデバイスは、標準と拡張の 2つのセキュアモードのいずれかで動作することができます。標準セキュアモードでは、

パスワードとセキュリティ鍵を設定コンソールから平文で直接入力することができます(デフォルトではスイッチ設定とは別に保存され

ます)。showコマンドは一般的に設定パラメータを隠すことも解読不能にすることもありません。

拡張されたセキュアモードでは、ソフトウェア機能のサポート、コマンドの実行方法、および設定パラメータの表示方法に、多くの動

作上の違いがあります。いくつかの重要な変更を以下に示します:

SSHは、3des-cbcと rijndael-dbd@lysator.liu.seを含む安全性の低い暗号のサポートを無効にします。

HTTPSは、TLS 1.0以降のみをサポートします。

パスワードと認証鍵は対話形式で入力する必要があり、コマンドの一部として設定することはできません。パスワードや鍵の文字は

アスタリスクで表示(隠蔽)されます。

ユーザがあるアクセスレベルから別のアクセスレベルに移行するたびに認証する必要があります(たとえば、オペレータからマネージ

ャ、またはその逆)。

スイッチの ROM Consoleをパスワード保護できます。(起動時に 0で入る Boot menu相当は、secure-mode=standardではパス

ワードなし(設定不可)だが, enhancedだと password rom-consoleコマンドでパスワード設定可)

拡張セキュアモードを開始すると、次の一連のイベントが発生します。

スイッチが再起動されます。

管理モジュールファイルシステムがゼロ化され、ファームウェアイメージが復元されます。

switch(config)# secure-mode enhanced

Validating software and configurations, this may take a minute...

The system will be rebooted and all management module files except software images

will be erased and zeroized. This will take up to 60 minutes and the switch will

not be usable during that time. A power-cycle will then be required to complete

the transition. Continue (y/n)? y

この時点でスイッチは再起動します。

Zeroizing the file system ... 100%

Verifying cleanness of the file system... 100%

Restoring firmware image and other system files...

Zeroization of file system completed

Continue initializing...

現在のスイッチの動作モードは、show secure-modeコマンドを使用して表示できます。

switch(config)# show secure-mode

Level: Enhanced

詳細については「ArubaOS-Switch Access Security Guide」の「Secure mode (FIPS)」を参照してください。

2-1-5. Hiding sensitive data ,,,機密データの非表示

NOTE: 機密データを非表示にすることは、2930、3810、および 5400Rスイッチシリーズでのみサポートされています。

hide-sensitive-dataコマンドは、標準のセキュアモードで設定可能であり、適用可能なコマンドのためのパスワードと認証鍵の対話型

入力を必要とし、入力時にパスワード/鍵のテキストを隠します。

NOTE: このガイドの残りの部分は、機密データが隠されていない標準セキュアモードで動作するスイッチシンタックスを使用して記述

されていますが、ゼロ化と延長されたダウンタイムが許容できない製品に既に適用されている可能性があることを理解していま

す。拡張セキュアモードで動作するスイッチの場合、特定コマンドシンタックスや出力が若干異なる場合があります。

2-2. Insecure protocols and secure alternatives ,,,安全でないプロトコルと安全な代替案

開梱して箱から取り出して、Arubaスイッチは Telnet、SNMP v1/2c、TFTP、HTTPを使用してデバイスを管理できます。これらのプ

ロトコルは、お客様が Arubaスイッチの製品ラインから期待する使い易さを提供するため、デフォルトで有効になっています。これら

のデバイスを保護するために、これらのプロトコルを無効にする必要があります。

2-2-1. Telnet vs. Secure Shell ,,, Telnet vs SSH

Telnetは、ユーザ名/パスワードを含むすべてのトラフィックを平文でネットワークに送信するため、本質的に安全ではありません。

ネットワークトラフィックをスヌーピングまたはスニッフィングするユーザは、これらの資格情報を傍受し、潜在的にデバイスへの管

理アクセス権を得ることができます。非対称暗号化を使用して鍵を交換し、安全な管理セッションを作成するため、Telnetではなく

SSH(Secure Shell)を使用することをお勧めします。さらに、ログインセッションのアイドルタイムアウト期間を設定すると、管理セッ

ションが無人のまま放置された場合に不正アクセスを防止できます。

次のコマンドで、SSHを有効にし、Telnetサーバを無効にし、SSH管理セッションのアイドルタイムアウトを 5分に設定します。

switch(config)# crypto key generate ssh

switch(config)# ip ssh

switch(config)# no telnet-server

switch(config)# idle-timeout 5

詳細については「ArubaOS-Switch Access Security Guide」の「Configuring Secure Shell (SSH)」を参照してください。

2-2-2. HTTP vs. HTTPS

ArubaOSスイッチデバイスは、デフォルトで有効になっている HTTPインタフェース経由で設定できます。この方法は、Telnetと同

じ脆弱性(盗聴と盗用)を抱えています。HTTPSインタフェースを有効にし、HTTPインタフェースを無効にすることをお勧めします。

HTTPSは、暗号化された TLS(Transport Layer Security)セッションまたは SSL(Secure Sockets Layer)セッションで実行される

HTTPトラフィックです。

運用環境では、信頼できる CA(証明機関)によって発行された証明書の利用を強く推奨します。次の手順を完了する必要があります。

1. スイッチ ID プロファイルは、生成された証明書に使用するサブジェクト情報とともに作成する必要があります(前述した「Switch

identity profile」を参照)。

2. TA(信頼アンカー)プロファイルを作成する必要があります。

3. CAルート証明書をスイッチにコピーし、作成した TAプロファイルに添付する必要があります。

4. 同じ TAプロファイルを使用して、スイッチ上で CSR(証明書署名要求)を生成する必要があります。

5. 証明書を生成するために CSRを CAに提供する必要があります(これは、CLIからの完全な CSRテキストをテキストファイルにコピ

ーして、それを CAに貼り付けるかアップロードすることによって行われます)。

6. 前述の手順で作成された証明書は、CLI、ファイル転送プロトコル、またはWebUIを介してスイッチにインストールする必要があり

ます。

次の例では「webprofile」という TAプロファイルを作成し、10.10.10.1の SFTPサーバからスイッチに CAルート証明書をコピー

し、CSRを作成します。

switch(config)# crypto pki ta-profile webprofile

switch(config)# copy sftp ta-certificate webprofile sftpuser@10.10.10.1 cacert.pem

switch(config)# crypto pki create-csr certificate-name webcert ta-profile webprofile usage web key-type rsa key-size

2048

-----BEGIN CERTIFICATE REQUEST-----

< Certificate request string >

-----END CERTIFICATE REQUEST-----

CSRの内容(BEGIN行と END行を含む)をWebフォームに貼り付けるか、CAにアップロードされたファイルにコピーして CAにコピ

ーします。この例では、OpenSSLを実行している Linuxシステム上で CSRの内容が「webcert.csr」という名前のファイルにコピーさ

れています(後述する「Local certificate authority with OpenSSL」を参照)。次のコマンドは「webcert.pem」という名前の証明書フ

ァイルを生成します。

root@localca:~# openssl ca -days 365 -in webcert.csr -out webcert.pem -cert cacert.pem -keyfile cakey.pem -config

/etc/ssl/openssl.cnf

Using configuration from /etc/ssl/openssl.cnf

Enter pass phrase for cakey.pem:

Check that the request matches the signature

Signature ok

Certificate Details:

Serial Number: 4096 (0x1000)

Validity

Not Before: Aug 21 18:31:04 2018 GMT

Not After : Aug 20 18:31:04 2019 GMT

Subject:

commonName = switch

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

< Subject Key Identifier string >

X509v3 Authority Key Identifier:

< Authority Key Identifier string >

Certificate is to be certified until Aug 20 18:31:04 2019 GMT (365 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

生成された証明書ファイル「webcert.pem」を SFTPルートフォルダにコピーし、それをスイッチに転送します。

switch(config)# copy sftp local-certificate sftpuser@10.10.10.1 webcert.pem

000M Transfer is successful

最後に、SSLを有効にし、平文の HTTPを無効にして、5分のアイドルタイムアウトを設定します。

switch(config)# web-management ssl

switch(config)# no web-management plaintext

switch(config)# web-management idle-timeout 300

詳細については「ArubaOS-Switch Basic Operation Guide」の「ArubaOS-Switch UI」の「Using HTTPS secure connection」を

参照してください。

2-2-3. TFTP vs SFTP and SCP ,,, TFTP vs SFTP/SCP

TFTPクライアントとサーバは、認証を必要とせず、(Telnetと同様に)平文でデータ転送するため無効にする必要があります。SSHプ

ロトコルスイートの一部である SFTP(Secure File Transfer Protocol)と SCP(Secure Copy Protocol)は、SSHと同様にクライアント

とサーバ間の公開鍵/秘密鍵を使用して暗号化セッションを提供するため、これらを代用する必要があります。この場合、スイッチはサ

ーバとして機能し、管理ステーションはクライアントとして機能します。PC上で実行される安全なターミナルクライアントプログラム

が必要になります。SFTPと SCPを有効にして TFTPを無効にするには、次の手順を実行します。

switch(config)# crypto key generate ssh

switch(config)# ip ssh filetransfer

TFTP and auto-TFTP are now disabled because they cannot be secured with SSH. TFTP can be re-enabled with the 'tftp'

command.

ip ssh filetransferコマンドを実行すると、TFTPクライアントとサーバは自動的に無効になります。TFTPクライアントとサーバを手

動で無効にするには(たとえば、すべてのファイル転送プロトコルを無効にする場合)、次のコマンドを実行します。

switch(config)# no tftp server

switch(config)# no tftp client

詳細については「ArubaOS-Switch Management and Configuration Guide」の「File Transfers」の「Using SCP and SFTP」を参

照してください。

2-2-4. SNMPv1 and v2c vs SNMPv3 ,,, SNMP v1/v2c vs SNMP v3

SNMP v2cはデフォルトで有効になっています。このプロトコルは、AirWaveや IMCなどの中央管理サーバからスイッチやルータを管

理するために使用されます。SNMP v2cは、認証にパスワードを使用するように、Read/Writeアクセスにコミュニティ名を使用しま

す。これらのコミュニティ名はネットワークに送信されます。悪意のあるユーザがこれらのコミュニティ名を取得すると、ネットワー

クデバイスに許可されていない可能性のある害を及ぼす可能性のある設定変更を行うために SNMP setコマンドを発行する可能性があ

ります。

SNMP v3は、SSHで使用されているのと同様の非対称暗号を使用して、この弱点を克服し、ネットワーク上の SNMPトラフィックを

暗号化するために開発されました。SNMP v3を有効にして、SNMP v3ユーザを作成して、SNMP v1/v2cを無効にするには、次の手順

を実行します。

switch(config)# snmpv3 enable

SNMPv3 Initialization process.

Creating user 'initial'

Authentication Protocol: MD5

Enter authentication password: ********

Privacy protocol is DES

Enter privacy password: ********

User 'initial' has been created

Would you like to create a user that uses SHA? [y/n] y

Enter user name: snmpv3user

Authentication Protocol: SHA

Enter authentication password: ********

Privacy protocol is DES

Enter privacy password: ********

User creation is done. SNMPv3 is now functional.

Would you like to restrict SNMPv1 and SNMPv2c messages to have read only

access (you can set this later by the command 'snmpv3 restricted-access')? [y/n] y

switch(config)# snmpv3 only

何らかの理由で SNMP v3がネットワークで利用できない場合、SNMP v2cを制限モード(read-only)で有効にすると、管理デバイスは

スイッチの情報を取得できますが、スイッチの設定変更はできません。

switch(config)# snmp-server community readonly_community restricted

任意の SNMP動作モードで、次のコマンドを入力して「public」コミュニティ名を無効にします。

switch(config)# no snmp-server community public

一部のセキュリティポリシーでは SNMPを完全に無効にする必要があります。次のコマンドで、すべての SNMP機能を無効にします。

switch(config)# no snmp-server enable

詳細については、以下を参照してください。

ArubaOS-Switch Access Security Guideの「RADIUS Authentication、Authorization、and Accounting」の「Using SNMP To

View and Configure Switch Authentication Features」

ArubaOS-Switch Management and Configuration Guideの「Configuring for Network Management Applications」の「CLI:

Viewing and Configuring SNMP Community Names」および「Using SNMP Tools To Manage the Switch」

2-3. Auditing and logging ,,,監査とロギング

ArubaOSスイッチは、ローカルに格納されたイベントログとセキュリティログの両方を提供するだけでなく、Syslogプロトコルを使

用して監査目的でイベントをリモートサーバに転送します。ログされたイベントは、セベリティレベル、生成元システムモジュール、

または正規表現を使用してメッセージテキストと照合する、などによりフィルタリングできます。

syslogクライアントは、UDP(デフォルト)、TCP、TLSプロトコルを使用してサーバに接続することができます。TLSは、syslog受信

者への暗号化された接続を提供するため、推奨されるプロトコルです。これには、スイッチが署名付き TLSクライアント証明書を所有

し、受信者が署名付き TLSサーバ証明書を所有する必要があります。自己署名証明書は、syslog受信者への接続には使用できません。

syslogの署名付き TLSクライアント証明書を要求してインストールするプロセスは、Web管理用の SSL/TLS証明書を要求しインスト

ールする場合と似ています。

switch(config)# crypto pki ta-profile syslogprofile

switch(config)# copy sftp ta-certificate syslogprofile sftpuser@10.10.10.1 cacert.pem

switch(config)# crypto pki create-csr certificate-name syslogcert ta-profile syslogprofile usage all key-type rsa key-

size 2048

-----BEGIN CERTIFICATE REQUEST-----

< Certificate request string >

-----END CERTIFICATE REQUEST-----

前述したWeb証明書生成プロセスと同様に、コピーして貼り付けたり、ファイルとしてアップロードしたりして、CSRコンテンツを

CAにコピーします。ここでは「syslogcert.csr」ファイルに CSRが含まれており、表示されたコマンドによリ「syslogcert.pem」と

いう名前の証明書ファイルが生成されます。

root@localca:~# openssl ca -days 365 -in syslogcert.csr -out syslogcert.pem -cert

cacert.pem -keyfile cakey.pem -config /etc/ssl/openssl.cnf

Using configuration from /etc/ssl/openssl.cnf

Enter pass phrase for cakey.pem:

Check that the request matches the signature

Signature ok

Certificate Details:

Serial Number: 4096 (0x1000)

Validity

Not Before: Aug 21 19:01:53 2018 GMT

Not After : Aug 20 19:01:53 2019 GMT

Subject:

commonName = switch

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

< Subject Key Identifier string >

X509v3 Authority Key Identifier:

< Authority Key Identifier string >

Certificate is to be certified until Aug 20 19:01:53 2019 GMT (365 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

生成された証明書ファイル「syslogcert.pem」を SFTPルートフォルダにコピーし、スイッチに転送します。

switch(config)# copy sftp local-certificate sftpuser@10.10.10.1 syslogcert.pem

必要な TLSサーバ証明書を生成してインストールするには、目的の syslog受信者のユーザマニュアルを参照してください。

必要な証明書がインストールされたら、次のコマンドを使用して、TLSを使用して、セベリティレベルが warning以上のすべてのイベ

ントを 10.100.1.250の syslogサーバに転送するようにスイッチを設定します。

switch(config)# logging 10.100.1.250 tls

switch(config)# logging severity warning

詳細については「ArubaOS-Switch Management and Configuration Guide」の「Troubleshooting」の「Debug/syslog

operation」を参照してください。

2-4. Access control ,,,アクセス制御

2-4-1. Out-of-Band Management port ,,,アウトオブバンド管理ポート

NOTE: OOBMポートによる管理は、2930M、3810、および 5400Rスイッチシリーズでサポートされています。

デフォルトで有効になっている OOBM(Out-of-Band Management)ポートは、運用トラフィックから分離されたネットワークでスイッ

チにアクセスして管理する手段を提供することを目的としています。分離された管理ネットワーク上の端末だけが、スイッチへの管理

アクセスを取得できます。不正アクセスを試みる可能性のあるデバイスの数が急激に制限されています。

スイッチ管理サービスは、スイッチのデータポートではなく、OOBMポートを使用するように設定できます。OOBMポートとデータポ

ートの間でトラフィックのルーティングはできず、OOBMポートには専用ゲートウェイアドレスを割り当てることができます。スイッ

チスタック(BPSまたは VSF)では、個々のスタックメンバのアドレスに加えて、スタック全体に対して 1つのグローバル OOBM IPア

ドレスを割り当てることができます。

この例では、3スイッチスタックのグローバル OOBM IPアドレスと、3つのメンバに、それぞれ個別の固定アドレスを設定します。

switch(config)# oobm

switch(oobm)# ip address 10.1.0.5/24

switch(oobm)# ip default-gateway 10.1.0.1

switch(oobm)# member 1

switch(oobm member-1)# ip address 10.1.0.6/24

switch(oobm member-1)# ip default-gateway 10.1.0.1

switch(oobm member-1)# member 2

switch(oobm member-2)# ip address 10.1.0.7/24

switch(oobm member-2)# ip default-gateway 10.1.0.1

switch(oobm member-2)# member 3

switch(oobm member-3)# ip address 10.1.0.8/24

switch(oobm member-3)# ip default-gateway 10.1.0.1

スタンドアロンスイッチで DHCPを使用するには：

switch(config)# oobm

switch(oobm)# ip address dhcp-bootp

OOBMポートのステータスを監視するために使用できる便利な showコマンドがいくつかあります。

switch# show oobm

Global OOBM Configuration

OOBM Enabled : Yes

VSF Member 1

OOBM Port Type : 100/1000T

OOBM Interface Status : Up

OOBM Port : Enabled

OOBM Port Speed : Auto

MAC Address : 00005E-005301

VSF Member 2

OOBM Port Type : 100/1000T

OOBM Interface Status : Up

OOBM Port : Enabled

OOBM Port Speed : Auto

MAC Address : 00005E-005302

switch# show oobm ip

IPv4 Status : Enabled

IPv4 Default Gateway : 10.1.0.1

| Address Interface

VSF-member | IP Config IP Address/Prefix Length Status Status

---------- + --------- ------------------------- -------- ---------

Global | manual 10.1.0.5/24 Active Up

1 | manual 10.1.0.6/24 Active Up

2 | manual 10.1.0.7/24 Active Up

詳細については「ArubaOS-Switch Management and Configuration Guide」の「Network Out-of-Band Management」を参照し

てください。

2-4-2. Management VLAN ,,,管理 VLAN

管理 VLANは、スイッチへの管理アクセスを、管理 VLANに接続されているノードだけに制限するように設計されています。つまり、

管理 VLANのメンバポートに接続されているクライアントだけが、Arubaスイッチへの管理アクセスを得ることができます。これによ

り、不正アクセスを試みる可能性のあるデバイスの数が急激に制限されます。

この例では、VLAN 200が作成され、管理 VLANと指定され、ポート 24に割り当てられます。

switch(config)# vlan 200 name “Management VLAN”

switch(config)# management-vlan 200

switch(config)# vlan 200 untagged 24

どの VLANも管理 VLANとして指定することができます。管理 VLANのメンバになるすべてのデバイスで、同じ VLANが管理 VLANと

して設定されていることを確認してください。

管理 VLANにはいくつかの制限事項とガイドラインがあります。

スイッチごとに 1つの VLANのみを管理 VLANとして指定できます。

スイッチでルーティングが有効になっていても、管理 VLANと他 VLAN間でトラフィックをルーティングすることはできません。

管理 VLANは DHCP IPアドレスを取得しません。スタティック IPアドレッシングのみを使用することができます。

認可された管理端末が接続するスイッチポート、または VLANを他スイッチに延伸しているスイッチポートだけが、管理 VLANのメ

ンバーである必要があります。

管理 VLANでは、IGMPはサポートされていません。

管理 VLANの詳細については「ArubaOS Switch Advanced Traffic Management Guide」の「Static Virtual LANs」の

「Configuring a secure Management VLAN」を参照してください。

2-4-3. Authorized IP managers ,,,認可された IP マネージャ

専用の管理 VLANの設定ではあまりにも制限されすぎて、管理端末がスイッチの管理 VLANの IPアドレスとは異なるサブネット上にあ

る場合などには利用できません。当該機能により、管理アクセスが許可されている許可 IPアドレスまたはアドレスグループを指定可能

で、最大 10個まで識別できます。アクセスレベルとアクセス方法の両方も指定可能です。

ここでは、許可された 2つのエンドポイント(10.100.1.10と 10.100.1.11)が、認可されたマネージャやオペレータとして、それぞれ

異なるアクセス方法が許可されて設定されています。

switch(config)# ip authorized-manager 10.100.1.10 255.255.255.255 access manager access-method all

switch(config)# ip authorized-manager 10.100.1.11 255.255.255.255 access operator access-method web

設定できるアクセス方法には、SSH、Telnet、Web、SNMP、TFTPなどがあります。コマンドインスタンスごとに指定できるアクセス

方法は 1つだけです(allもしくは特性手法を指定できます)。特定の許可された IPアドレス/範囲に対して個別に複数のアクセス方法を

許可する場合には、コマンドを複数回実行する必要があります。

switch(config)# ip authorized-manager 10.100.1.12 255.255.255.255 access manager access-method ssh

switch(config)# ip authorized-manager 10.100.1.12 255.255.255.255 access manager access-method web

設定完了すると、指定されたアドレスだけが、指定された方法を使用してネットワーク経由でスイッチへアクセスを許可されます。一

部のアドレスはオペレータのアクセスに制限され、他のアドレスにはマネージャ権限のステータスが付与されます。

ただし、この手法は万全なアクセス制御方法ではないことに留意することが重要です。IPスプーフィングは、セキュリティが脅かされ

ている許可されたワークステーションと同様に、この手法による保護を無効にします。また、シリアルコンソールからの不正アクセス

から保護することもできません。この機能は、RADIUSや TACACS+などのロールベース認証スキームと組み合わせて使用することを

強くお勧めします。

詳細については「ArubaOS-Switch Access Security Guide」の「Authorized IP Managers」を参照してください。

2-4-4. Access Control Lists ,,, ACL

IP ACL(アクセス制御リスト)を使用して管理アクセスを制限し、スイッチにアクセスすることが許可されている IP範囲またはプロトコ

ルをより細かく制御することもできます。

ここでは、管理端末と他のネットワークデバイスの両方を接続する VLAN(10)に適用する次の拡張 IPv4 ACLを検討します。

switch(config)# ip access-list extended "mgmt-permit"

switch(config-std-nacl)# 10 permit tcp 10.1.1.0/24 eq 22 10.1.0.5/32

switch(config-std-nacl)# 20 permit tcp 10.1.1.0/24 eq 443 10.1.0.5/32

switch(config-std-nacl)# 30 permit tcp 10.1.0.50/32 eq 22 10.1.0.5/32

switch(config-std-nacl)# 40 permit tcp 10.1.0.50/32 eq 443 10.1.0.5/32

switch(config-std-nacl)# exit

switch(config)# vlan 10

switch(vlan-10)# ip access-group “mgmt-permit” in

この ACLは、VLANまたはポートのインバウンドトラフィックに適用されると、ポート 22(SSHや SFTP)または 443(HTTPSや

REST-API)でスイッチにアクセスできるのは 10.1.1.0/24または 10.1.0.50のホストだけです。他の送信元 IPアドレスや他の

TCP/UDPポートからのトラフィックはすべて廃棄されます。

この ACLと併せて、次の ACL (有効になっているすべての非管理 VLANおよび/またはインタフェース上のインバウンドトラフィック

に適用されます)は、スイッチ管理アドレスへのすべての接続を防ぎ、他のすべてのトラフィックを通過させます。

switch(config)# ip access-list extended "mgmt-block"

switch(config-std-nacl)# 10 deny ip any 10.1.0.5/32

switch(config-std-nacl)# 20 permit ip any any

switch(config-std-nacl)# exit

switch(config)# vlan 20

switch(vlan-20)# ip access-group "mgmt-block" in

ArubaOSスイッチのすべての ACLには、ルールリストの末尾に「暗黙の deny any」ルールがあるので、許可したいトラフィックに関

しては、適用された ACLを通過するために明示的な permitで許可する必要があります。

詳細については、以下を参照してください。

ArubaOS-Switch Access Security Guideの「IPv4 Access Control Lists (ACLs)」

ArubaOS-Switch IPv6 Configuration Guideの「Access Control List」

2-5. Authentication, Authorization, and Accounting ,,,認証,認可,アカウンティング

デフォルトでは、ユーザ認証は設定されておらず、スイッチは物理的またはリモートアクセスの誰でも開かれたままです。ArubaOSス

イッチは、基本的なパスワード保護から外部サーバを使用したロールベース認証に至るまで、ユーザを認証し、デバイスへの不正な管

理アクセスを防止する様々な方法を提供します。

各管理インタフェース(Console, SSHなど)では、ユーザを認証するプライマリおよびセカンダリの手法を設定できます。Arubaスイッ

チのデフォルトは次のとおりです。

switch# show authentication

Status and Counters - Authentication Information

Login Attempts : 3

Lockout Delay : 0

Respect Privilege : Disabled

Bypass Username For Operator and Manager Access : Disabled

| Login Login Login

Access Task | Primary Server Group Secondary

-------------- + ----------- ------------ ----------

Console | Local None

Telnet | Local None

Port-Access | Local None

Webui | Local None

SSH | Local None

Web-Auth | ChapRadius radius None

MAC-Auth | ChapRadius radius None

SNMP | Local None

Local-MAC-Auth | Local None

| Enable Enable Enable

Access Task | Primary Server Group Secondary

-------------- + ----------- ------------ ----------

Console | Local None

Telnet | Local None

Webui | Local None

SSH | Local None

NOTE: ポートアクセス(802.1X)、Web-Auth、MAC-Authは、主にスイッチ自体ではなく、権限のないユーザからネットワークを保

護する手段であり、このドキュメントの範囲を超えています。

Respect Privilegeオプションは、認証サーバがユーザの特権レベルを提供できるようにスイッチに指示します。詳細については、後述

する「Server-supplied privilege level」を参照してください。

プライマリ認証方式に失敗した場合 (たとえば、すべての外部認証サーバに到達できない場合)、セカンダリ方式がユーザの認証に使用

されます。前述した設定では、ローカルユーザ名/パスワードが設定されていない場合、スイッチに接続するすべてのユーザに自動的に

マネージャレベルの権限が与えられます。

ほとんどの管理インタフェースでは、ユーザを認証する 3つの方法が許可されています。

Local ,,, 装置ローカルに設定されたユーザ名/パスワードを使用します。

RADIUS ,,, 外部 RADIUSサーバを使用します。

TACACS+ ,,, 外部 TACACS+サーバを使用します。

2-5-1. Local password authentication ,,,ローカルパスワード認証

次の種類の組み込みローカルユーザアカウントを作成して、スイッチへのさまざまなレベルのアクセスを提供できます。

マネージャ: フルアクセス(デフォルト)

設定変更

すべての"enable "コマンド

Read/Writeアクセス

オペレータ: 制限アクセス

ステータスとカウンタ、イベントログ、および showコマンド

すべての"login"コマンド

Read-onlyアクセス

ローカルユーザ名とパスワードは、スイッチごとに設定され、最も基本的な認証手法を提供します。このスイッチを使用すると、マネ

ージャとオペレータのパスワード、およびそれぞれのオプションのユーザ名を設定できます。スイッチは、最小限の許可されたユーザ

識別のために、2つのユーザレベル(マネージャ, オペレータ)のパスワードを要求するように設定する必要があります。それ以外の場合

は、スイッチをデフォルト設定のままにしておくと、接続されているすべてのユーザがマネージャ相当の管理機能を使用できるように

なります。プライマリメソッドが失敗した場合、最低レベルのセキュリティを提供するために、ローカル認証がセカンダリログインメ

ソッドとしてよく使用されます。

ユーザ名「admin」のローカルマネージャレベルのユーザを平文パスワードで設定するには、次の手順を実行します。

switch(config)# password manager user-name admin plaintext adminpw123!

デフォルトのユーザ名「operator」を使用してオペレータレベルのユーザを作成するには、次のようにします。

switch(config)# password operator plaintext operatorpw321!

カスタムユーザ名が指定されていない場合、オペレータとマネージャのユーザ名は、それぞれ operatorとmanagerにデフォルト設定

されます。

パスワードは、直接平文入力するのではなく、SHA-256(推奨)や SHA-1のハッシュ文字列として入力することもできます。これを行う

には、ユーザが必要なパスワードをハッシュジェネレータに渡す必要があります。その結果、40文字(SHA-1)または 64文字(SHA-

256)の文字列をスイッチの passwordコマンドへの入力として使用する必要があります。次の例は SHA-256です:

switch(config)# password manager user-name localadmin sha256

95d30169a59c418b52013315fc81bc99fdf0a7b03a116f346ab628496f349ed5

2-5-2. Local password complexity ,,,ローカルパスワードの複雑さ

デバイス管理者は、パスワードの複雑さのポリシーを指定することで、管理ユーザのパスワードを容易に推測したり、デバイスにアク

セスすることを強要できないようにすることができます。

構成可能な複雑さの要件は、以下の通り:

最小パスワード長

パスワード構成 (小文字、大文字、数字、記号)

繰り返し文字、繰り返しパスワード、またはパスワードの一部としてのユーザ名、などのチェック

パスワードのエージングと履歴

次の例では、パスワードの繰り返し文字を 3回以上、パスワード文字列を繰り返したり、パスワードの一部としてユーザ名(正順/逆順)

を入力することを禁止するパスワード複雑性ポリシーを定義しています。

switch(config)# password complexity all

パスワードの長さを 12文字以上にするには：

switch(config)# password minimum-length 12

3つの小文字、3つの大文字、3つの数字、および 3つの記号を必要とする合成ポリシーを作成するには：

switch(config)# password composition lowercase 3

switch(config)# password composition uppercase 3

switch(config)# password composition number 3

switch(config)# password composition specialcharacter 3

最後に、90日間と 8パスワード履歴のデフォルト設定によるパスワードのエージングと履歴チェックを有効にします。

switch(config)# password configuration aging

switch(config)# password configuration history

詳細については「ArubaOS-Switch Access Security Guide」の「Password Complexity」を参照してください。

2-5-2-1. Storing credentials in the switch configuration ,,,スイッチ設定に資格情報を保存

デフォルトでは、ユーザ名とパスワード(および RADIUS/TACACS認証鍵などの資格情報)はスイッチ設定ファイルとは別に保存され、

saved-configurationや running-configurationには表示されません。includecredentialsコマンドを使用して、資格情報をスイッチ設

定の一部として保存&表示することができます。この機能が有効な場合は、aes-256-cbc暗号化を使用して encryptcredentials機能を

有効にして、すべての Arubaスイッチに共通のハードコーディングされた 256bits鍵、もしくは平文文字列または 64文字 HEX文字列

として定義されたカスタム事前共有鍵を使用して(推奨)、保存された資格情報を暗号化することを強くお勧めします。所定のネットワー

ク内のデバイスに共通の事前共有鍵を使用すると、同じ鍵を使用するデバイス間で、資格情報を含む設定の転送が可能になります。

これらの機能を両方とも有効にするには、カスタム事前共有鍵を使用して資格情報を暗号化します。

switch(config)# include-credentials

switch(config)# encrypt-credentials pre-shared-key plaintext encryptme

2-5-2-2. Failed authentication lockout ,,,失敗した認証のロックアウト

セッションやユーザごとに許可されるログイン試行回数のデフォルトは 3回です。これは、有効なアクセス資格情報を提供する 3回の

チャンスがあることを意味します。この制限に達するとセッションが終了し、ユーザはオプションのロックアウト遅延(デフォルトは無

効)の後にログイン処理を再開する必要があります。許可されたログイン試行回数とロックアウト遅延期間の両方が設定可能です。

ログイン試行を軽減するにために、2回のログイン試行回数でセッションを終了するには、次のコマンドを使用します。

switch(config)# aaa authentication num-attempts 2

この設定は 1〜10の値に設定できます。ロックアウト遅延がゼロ以外の値に設定されている場合、試行回数はユーザアカウントごとに

適用されます。設定された遅延がない場合、設定はセッションごとに適用されます。

許可された回数を超えた後に 30秒のロックアウト遅延を設定するには：

switch(config)# aaa authentication lockout-delay 30

この設定は 0〜3600の値を秒単位で割り当てることができます。値を 0に設定すると、ロックアウトの遅延が無効になります。ただ

し、許可されたログイン試行回数を超えると、認証セッションが終了します。

ローカルパスワード管理とポリシーの詳細については「ArubaOS-Switch Access Security Guide」の「Configuring Username and

Password Security」を参照してください。

2-5-3. Role-Based Access Control (RBAC) ,,,ロールベースのアクセス制御(RBAC)

この機能により、デフォルトのユーザアカウントよりも管理権限をきめ細かに制御できるため、デバイス管理者はネットワーク管理者

が役割を果たすために必要な機能にのみアクセスできるようになります。

RBACモデルでは、各ローカルユーザアカウントにロールが割り当てられます。ロールは、そのユーザが使用できるコマンドとアクセ

ス許可を定義します。ArubaOSスイッチでは、デバイスに最大 64のロールが設定され、それぞれに独自のルールが設定されます。使

用可能なロールのタイプは、次の 3つのカテゴリに分類されます。

3つのデフォルトロール：operator、manager、default-security-group

16のシステム定義ロール：レベル 0〜レベル 15

45のユーザロール

オペレータとマネージャのロールは前述したとおりであり、それぞれ password operatorコマンドと password managerコマンドを

使用して割り当てられます。default-security-groupロールに割り当てられたユーザは、デバイスセキュリティログの表示、コピー、

およびクリアに制限されます。

16のシステム定義ロールのうち、4つは事前定義されており、12はユーザが変更可能です。定義済ロールでは、次のアクセスとアクセ

ス権が提供されます。

ネットワーク診断(level-0)は、ping、tracert、ssh、telnetなどの基本的な診断コマンドだけを実行できます。

ネットワークオペレータ(level-1)は、show historyと display historyを除く、showコマンドと displayコマンドを実行する機能

が追加されます。

指定管理者(level-9)は、ユーザ管理コマンドおよび認証コマンド(たとえば、aaa、tacacs、radius、passwordなど)以外のすべての

コマンドを実行できます。

管理者(level-15)は、組み込みマネージャロールと同じく、すべてのコマンド/機能、およびポリシーにアクセスできます。

ローカルユーザを作成して管理者ロールに割り当てるには、次の手順を実行します:

switch(config)# aaa authentication local-user localadmin group "Level-15" password plaintext

New password for localadmin: ********

Please retype new password for localadmin: ********

詳細については「ArubaOS-Switch Access Security Guide」の「RBAC」を参照してください。

2-5-4. RADIUS authentication ,,, RADIUS 認証

RADIUSを使用してユーザを認証すると、スイッチへのアクセスを集中管理できます。これにより、管理者は、すべてのネットワーク

デバイスを変更することなく、一連の許可ユーザを変更できます。RADIUS認証は、Aruba ClearPass Policy Managerでサポートさ

れています。

次の例では、認証鍵が「secret」である IPアドレス 10.100.0.253の RADIUSサーバがスイッチの認証に使用されるように設定され

ています。

switch(config)# radius-server host 10.100.0.253 key secret

シリアルコンソール、SSH、およびWebUIのログインに対して RADIUS認証をプライマリ認証方式として有効にし、ローカル認証を

セカンダリ方式として有効にするには、次の設定コマンドを使用します。

switch(config)# aaa authentication console login radius local

switch(config)# aaa authentication console enable radius local

switch(config)# aaa authentication ssh login radius local

switch(config)# aaa authentication ssh enable radius local

switch(config)# aaa authentication web login radius local

switch(config)# aaa authentication web enable radius local

SSHには、SCPや SFTPによるファイル転送の認証も含まれています。

NOTE: セカンダリアクセスメソッドがパスワードなしで「none」または「local」の場合に、何らかの理由でプライマリメソッドが失

敗すると(たとえば、RADIUSサーバに到達できない、不正 RADIUSサーバ鍵が 設定されている、など)、ユーザには管理者レ

ベルのアクセス権が与えられます。

詳細については「ArubaOS-Switch Access Security Guide」の「RADIUS Authentication and Accounting」を参照してください。

2-5-5. TACACS authentication ,,, TACACS 認証

TACACSを介してユーザを認証することで、スイッチへのアクセスを集中管理できます。TACACS認証は RADIUS認証と同様に動作

し、これにより、管理者は中央サーバからユーザを管理できます。TACACS認証は、Aruba ClearPass Policy Managerでもサポート

されています。

前述した RADIUSの例と同様に、次の例では、認証鍵が「secret」である IPアドレス 10.100.0.252の TACACSサーバがスイッチの

認証に使用されるように設定されています。

switch(config)# tacacs-server host 10.100.0.252 key terces

コンソールまたは SSH管理アクセスのプライマリ方式として TACACS認証を有効にし、セカンダリ方式としてローカル認証を有効に

するには、次の設定コマンドを使用します。

switch(config)# aaa authentication console login tacacs local

switch(config)# aaa authentication console enable tacacs local

switch(config)# aaa authentication ssh login tacacs local

switch(config)# aaa authentication ssh enable tacacs local

WebUIアクセスは、TACACS認証をサポートしていません。

NOTE: RADIUSおよび TACACS鍵に関する注意事項：デフォルトでは、スイッチから設定ファイルをコピーする場合(たとえば copy

saved-configuration sftpコマンド)、RADIUSおよび TACACSサーバ認証鍵は含まれません。これらの鍵のない設定ファイル

を使用してスイッチ設定をバックアップから復元すると、設定済 RADIUSサーバや TACACSサーバに対する認証要求が失敗す

る可能性があります。これらの鍵は、include-credentialsと encrypt-credentialsが有効だと、設定バックアップに含めること

ができます。(設定については前述した Local password authenticationを参照)

詳細については「ArubaOS-Switch Access Security Guide」の「TACACS+ Authentication and Accounting」を参照してくださ

い。

2-5-6. RADIUS and TACACS+ authorization and accounting ,,, RADIUS/TACACS+の認可とアカウンティング

RADIUSと TACACS+は、コマンド認可によるコマンドへのアクセスを制限する機能と、管理セッション、コマンド使用法、およびシ

ステムイベントのためのアカウンティングデータを収集する機能を提供します。これにより、管理ユーザのアクセス許可をより細かく

制御したり、予期しない操作や悪意のある操作をユーザセッションで監視することができます。

コマンド認可は、ローカル定義した認可グループ、もしくは RADIUSや TACACS+を使用することができ、すべてのコマンドに対して

有効にするか、マネージャレベルのコマンドに限定することができます。

認証に使用するのと同じプロトコルを使用して、すべてのコマンドのコマンド認可を設定するには:

switch(config)# aaa authorization commands access-level all

switch(config)# aaa authorization commands auto

外部サーバに送信できるアカウンティングデータには、コマンド使用法、セッション開始/停止の実行、ネットワーク使用状況、システ

ムイベントなどがあります。

次のコマンドは、TACACS+を選択されたプロトコルとして使用して、暫定的な更新を伴う execセッションの開始/停止アカウンティ

ングおよびコマンドアカウンティングを有効にします。

switch(config)# aaa accounting exec start-stop tacacs

switch(config)# aaa accounting commands interim-update tacacs

代わりに RADIUSを使用するには：

switch(config)# aaa accounting exec start-stop radius

switch(config)# aaa accounting commands interim-update radius

2-5-7. Server-supplied privilege level ,,,サーバ提供の特権レベル

ログイン特権レベルは、スイッチがサーバによって提供される認証ユーザのコマンドレベル(マネージャまたはオペレータ)を受け入れる

ように指示します。これにより、管理者レベルのユーザはログインコンテキストをスキップして直ちにコンテキストを有効にすること

ができるため、管理者レベルのユーザが 2度ログインする必要はありません。

スイッチがサーバによって提供される特権レベルを受け入れるようにするには、次の設定コマンドを使用します。

switch(config)# aaa authentication login privilege-mode

RADIUSサーバ上のユーザアカウントの特権レベルを指定するには、ユーザの資格情報に「Service-Type」属性を指定します。

Service-Type = 6は、マネージャレベルのアクセスを許可します。

Service-Type = 7では、オペレータレベルのアクセスが可能です。

Service-Type = なし、もしくは 6,7以外のユーザはアクセス拒否されます

TACACSサーバ上のユーザアカウントの特権レベルを指定するには、ユーザのクレデンシャルに「Max-privilege」属性を指定します。

Max-privilege = 15は、マネージャレベルのアクセスを許可します。

Max-privilege = 0は、オペレータレベルのアクセスのみを許可します

2-5-8. Console inactivity timer ,,,コンソール非アクティブタイマ

コンソール非アクティブタイマは、ゼロ以外の値に設定する必要があります。非アクティブタイマをゼロ(デフォルト設定)に設定する

と、アイドル状態のコンソールセッションのタイムアウトが防止され、管理ステーションへのアクセス権を持つ誰でもセッションが開

かれます。非アクティブタイマ閾値が満たされると、セッションは終了され、ユーザは再認証する必要があります。非アクティブタイ

マは、0(無効)から 120分の間で設定できます。

次のコマンドを使用して、5分間の非アクティブタイマを設定します。

switch(config): console inactivity-timer 5

2-6. Attack prevention ,,,アタック防止

2-6-1. Control Plane Policing ,,, CoPP

CoPP (Control Plane Policing)は、5400R(v3-onlyモード)、3810M、および 2930スイッチプラットフォームで使用可能で、特定タ

イプのパケットのフラッディングを防止し、パケットをレート制限またはドロップすることにより、スイッチまたはモジュール CPUに

過負荷をかけることを防止します。

スイッチソフトウェアは、ブロードキャスト、MAC通知、ルーティングプロトコル(BGP, OSPF, RIP)、およびスパニングツリープロ

トコル(MSTP, PVST)を含む、レート制限が可能な多様なパケットのデフォルトクラスを提供します。

以下の操作で、事前定義されたすべてのトラフィッククラスとそのデフォルトレート制限を使用して CoPPを有効にします:

switch(config)# copp traffic-class all limit default

ArubaOSスイッチには、次の定義済トラフィッククラス定義、デフォルト制限(pps)、および設定可能な制限範囲が含まれています。

Traffic Class Default Limit Limit Range

-------------------------------------------------------------------

station-arp 512 8 to 1024

station-icmp 128 8 to 1024

station-ip 512 8 to 1024

ip-gateway-control 128 8 to 512

ospf 512 8 to 1024

bgp 512 8 to 1024

rip 512 8 to 1024

multicast-route-control 256 8 to 1024

loop-ctrl-mstp 256 8 to 512

loop-ctrl-pvst 256 8 to 512

loop-ctrl-loop-protect 256 8 to 512

loop-ctrl-smart-links 256 8 to 512

layer2-control-others 512 8 to 1024

udld-control 256 8 to 256

sampling 256 8 to 512

icmp-redirect 64 8 to 128

unicast-sw-forward 512 8 to 1024

multicast-sw-forward 512 8 to 1024

mac-notification 512 8 to 1024

exception-notification 256 8 to 512

broadcast 512 8 to 512

unclassified 64 8 to 512

また、宛先 IPv4/IPv6アドレスおよび/または TCP/UDPポートに基づいてパケットをレート制限またはドロップするカスタム CoPPト

ラフィッククラスを最大 8つ作成できます。

この例では、宛先 IPアドレスに関係なく、スイッチに入る SNMPトラフィックを最大 80ppsに制限しています。

switch(config)# copp user-def 1 ipv4 any udp 161 limit 80

この CoPPクラスを設定すると、1秒あたりの許容 SNMPパケット数を超える SNMPパケットが廃棄されます。

次の例では、スイッチに入るすべての Telnetパケットが廃棄されます。

switch(config)# copp user-def 2 ipv4 any tcp 23 drop

詳細については「ArubaOS Switch Advanced Traffic Management Guide」の「Classifier-based software configuration」の

「Control Plane Policing」を参照してください。

2-6-2. Port security ,,,ポートセキュリティ

ポートセキュリティ機能を使用すると、ネットワーク管理者はスイッチ上のポートにアクセスできる特定デバイス(MACアドレス別)を

指定したり、ポートに同時接続できるデバイス数を制限できます。認証済MACアドレスは、スイッチ管理者が手動で指定したり、デバ

イスが接続されたときに動的に学習したり、指定された RADIUSサーバによって認可されたりすることができます。

ポートセキュリティ設定は、認証済 MACアドレス設定、侵入検知アクション、盗聴防止の 3つの主要コンポーネントに分割されます。

ArubaOSスイッチデバイスでは、5つの異なるMACアドレス学習モードが設定可能です。

Continuous : ポートは、デバイスが接続されている(ポートセキュリティが無効になっている)ときに、新しい MAC アドレスを継

続的に学習します。

Static : 許可されたアドレスをスタティックに割り当てることができ、ポートは指定された制限(最大 64 アドレス)まで追加のアド

レスを学習します。

Configured : スタティックに割り当てられた許可アドレスだけが、指定された限度まで割り当てられたポートで使用できます。

Port access : ポートは、802.1X、Web認証、MAC認証によって認可されたMACアドレスのみを学習します。MACアドレスがポ

ートで許可されると、許可されたMACアドレスからのトラフィックだけが転送されます。

Limited-continuous : ポートは、指定された制限までMACアドレスを学習します。制限に達すると、ポートに接続されている新

しいMACアドレスが侵入として処理されます。

設定されたポートで不正なデバイスが検出されると、SNMP Trapを介して管理者に通知し、オプションで侵入発生したポートを無効に

するアクションが実行されます。

最後に、盗聴防止により、宛先アドレスが不明なパケットは、機能が有効になっているポートに転送されません。

この例では、2つのスタティックに割り当てられたアドレス、2つのアドレス制限、盗聴防止を有効にして、SNMP Trapを送信してポ

ートを無効にするように侵入検知を設定しています:

switch(config)# port-security 2 learn-mode configured address-limit 2 mac-address 308d99-000000 308d99-000001

eavesdrop-prevention action send-disable

この設定では、MACアドレス指定された 2つのデバイスだけがポート 2に接続できます (たとえば、PCに接続されたパススルーイー

サネットポートを持つ IP電話)。ポートに接続しようとする他のデバイスは侵入としてフラグが付けられ、SNMP Trapは設定済みの

SNMPターゲットに送信され、ポートは自動的に無効になります。

2-6-2-1. Port security auto-recovery,,,ポートセキュリティの自動回復

通常、ポートセキュリティ機能によって無効になったポートは、手動で再度有効にする必要があります。自動回復機能を使用すると、

指定されたディセーブルタイマが経過した後、スイッチは自動的に無効になったポートを再び有効にできます。タイマは 1〜300秒に

設定できます。0に設定すると、タイマが無効になります。

ポートで自動回復を有効にするには、MACアドレス学習モードを continuous以外のモードに設定して、ポートセキュリティを有効に

する必要があります。no port-security <port>コマンドを使用してポートセキュリティを無効にすると、ディセーブルタイマ設定も削

除されます。

次のコマンドは、30秒のディセーブルタイマでポート 2の自動回復を有効にします:

switch(config)# port-security 2 disable-timer 30

2-6-3. DHCP snooping ,,, DHCP スヌーピング

DHCPスヌーピングは、ネットワーク上で動作する不正な DHCPサーバによるアドレススプーフィングや、ネットワーク上の攻撃者に

よる大量のアドレス要求による DHCPサーバ上のアドレスの消耗など、一般的な DHCP攻撃からネットワークを保護します。この機能

は、DHCP要求と応答が受け入れられる信頼できる DHCPサーバとポートを指定することで機能します。

DHCPv4スヌーピングをグローバルに有効にするには:

switch(config)# dhcp-snooping

DHCPv6を使用している場合、これは同等のコマンドです:

switch(config)# dhcpv6-snooping

DHCPスヌーピングをグローバルで有効にした後に、次のコマンドで、DHCPサーバを 10.100.0.254で許可サーバとして指定し、ス

イッチ上で許可された DHCPサーバに到達できるポートであるポート 8を信頼できるポートとして指定します。

switch(config)# dhcp-snooping authorized-server 10.100.0.254

switch(config)# dhcp-snooping trust 8

最後に、保護されるクライアント VLANで DHCPスヌーピングを有効にします:

switch(config)# dhcp-snooping vlan 100,110

この設定では、任意のポート上の不正な DHCPサーバから受信した DHCPパケット、または信頼できないポート上の任意の DHCPサー

バ(許可されたサーバを含む)から受信した DHCPパケットは廃棄されます。

2-6-4. Dynamic ARP Protection ,,,ダイナミック ARP プロテクション

ARPは、パケットの送信に使用される IPから MACアドレスへのマッピングを作成することによって、ホストがネットワーク上で通信

できるようにします。攻撃者は ARPを使用して偽のマッピングを生成し、他のクライアントの MACアドレスを偽装し、それらに向け

られたトラフィックを傍受することができます。さらに、攻撃者は無制限の人工 ARPエントリを生成し、ネットワーク上の他のクライ

アントのキャッシュを満たし、DoS(サービス拒否)を引き起こす可能性があります。

ダイナミック ARPプロテクションは、ARPパケットを傍受し、それらを転送する前に真正性を確認することによって機能します。送信

元プロトコルアドレスと送信元物理アドレスフィールドにアドバタイズされた無効な IPから MACアドレスへのバインディングを持つ

パケットは破棄され、有効な ARP要求と応答のみが転送され、ローカル ARPテーブルの更新に使用されます。

ARPプロテクションは、DHCPスヌーピングによって維持されたリースから格納された IPからMACへのバインディングを認証しま

す。非 DHCPクライアント用に設定されたスタティックバインディングを使用して認証します。VLANごとに設定され、信頼できるポ

ートと信頼できないポート(デフォルト)の 2種類の方法でポートを分類します。信頼できるポートで受信された ARPパケットは、認証

されたサーバが設定されていなければ、真正性を検証することなく正常に転送されます。

NOTE: 最初に DHCPスヌーピングやスタティックバインディングを設定せずに ARPプロテクションを有効にすると、すべての ARPパ

ケットが破棄されます。

ARPプロテクションは、ドロップするように設定することもできます。

ARP 要求または応答パケットで、イーサネットヘッダの送信元 MAC アドレスは、ARP パケットの本体の送信元 MAC アドレスと一

致しません

ユニキャスト ARP応答パケットで、イーサネットヘッダの宛先 MACアドレスが、ARPパケットの本体のターゲット MACアドレス

と一致しません

送信元 IPアドレスまたはターゲット IPアドレスが無効な ARPパケット (無効な IPアドレスには、0.0.0.0や、255.255.255.255、

すべての IPマルチキャストアドレス、すべてのクラス Eアドレスが含まれます)

スイッチ上で Dynamic ARP Protectionをグローバルで有効にするには、次のコマンドを使用します:

switch(config)# arp-protect

保護する VLAN に 10と 20を指定し、信頼できるポートに 1〜4を指定し、ARPプロテクション VLANの送信元MACアドレス、宛先

MACアドレス、および IPアドレス検証を有効にするには:

switch(config)# arp-protect vlan 10 20

switch(config)# arp-protect trust 1-4

switch(config)# arp-protect validate src-mac dest-mac ip

ポートセキュリティ、DHCPスヌーピング、およびダイナミック ARPプロテクションの詳細については「ArubaOS-Switch Access

Security Guide」の「Port Security」を参照してください。

2-7. Physical security ,,,物理的なセキュリティ

2-7-1. Front panel security ,,,フロントパネルのセキュリティ

Arubaスイッチは、フロントパネルの Resetボタンと Clearボタンを使用して、スイッチの設定を工場出荷時のデフォルトに戻した

り、コンソールのパスワードをリセットしたりすることができます。この機能は、スイッチがフロントパネルへの物理的なアクセスを

妨げることが不可能な場所にある場合に、セキュリティおよびサービス拒否のリスクを生じさせます。管理者はこれらの機能を無効に

して、攻撃者によるデバイスへの物理的なアクセスによる悪意のある使用を防止することが推奨されています。

これらの機能を無効にすると、管理者パスワードを紛失または忘れた場合、管理者のオプションが厳しく制限されることを理解するこ

とが重要です。これらの変更を行う前に「ArubaOS-Switch Access Security Guide」の「Configuring Username and Password

Security」の「Front panel security」に記載されているすべての考慮事項を確認することをお勧めします。

次の 2つのコマンドは、フロントパネルのボタンを無効にします。

switch(config)# no front-panel-security password-clear

switch(config)# no front-panel-security factory-reset

2-7-2. USB port ,,, USB ポート

スイッチには、展開、トラブルシューティング、設定バックアップ、またはスイッチの更新のためのフラッシュドライブを挿入するた

めの USBポートが含まれています。このポートは、使用していないときは無効にし、必要なときには一時的に有効にする必要がありま

す。

USBポートを有効にするには、次のコマンドを使用します:

switch# usb-port

ポートを無効にするには：

switch# no usb-port

2-8. MACsec

MACsec (MACセキュリティ)は、リンクレイヤで LANの全部または一部を透過的に保護する方法を指定する IEEE 802規格です。

MACsec対応 PHYデバイスは、このようなネットワークに設定されたスケーラビリティと高速要件を満たしながらこれを実行できま

す。MACsecは、無線ネットワークが異なるプロトコルセットを使用するため、有線 LANのみを対象としています。有線ネットワーク

のセキュリティを確保するには、新しい世代のネットワークインフラストラクチャスイッチでMACsec機能が必要です。これは、

Aruba 5400R(v3モジュールのみ)、3810M、および 2930Mスイッチファミリでサポートされています。

MACsecプロトコルは次を提供します：

Connectionless data integrity - 各MACフレームは別々の完全性検証コードを運ぶため、コネクションレス型という用語が使用さ

れます。

Data origin authenticity - 各MACフレームは、認可された MACsecステーションによって送信されたことが保証されています。

Confidentiality - 各 MACフレームは、盗聴されないように暗号化されています。

Replay protection - 攻撃者が LANからコピーした MACフレームは、検出されずに LANに再送信することはできません。

MKA(MACsec Key Agreement)プロトコルと Static CAK(Connectivity Association Key)モードを使用して、スイッチ間インフラ

ストラクチャのセキュリティを強化しました。

サポートされている Arubaスイッチでの MACsec動作は:

ポートごとにシングルユーザ CAKを使用したスイッチ間のペアの事前共有 CAKモード

ハードウェアで高速処理に対応した新しい MACsec対応 PHY

自動MACsecピア検出、peer-participant liveliness、およびセキュリティのためのMKA(MACsec Key Agreement)プロトコル、鍵

サーバ選定、SAKs配布

AES-GCM-128ビット鍵長 (CAKs/ICKs/KEKs/SAKs)

「Integrity Check Only」モードと「Integrity Check with Confidentiality at offset 0」モードの設定

CLIと SNMP、Telnet/SSHを介したMACsec設定

HTTP/HTTPSインタフェースによるMACsec設定はサポートされていません

MACsecポリシーを定義し、CA Key Name (CKN)と CA Key (CAK)を割り当てるには：

switch(config)# macsec policy macsecpolicy

switch(Policy-examplepolicy)# mode pre-shared-key ckn 1a2b3c4d5e6f cak f6e5d4c3b2a1

ポート 21-24にMACsecポリシー「examplepolicy」を割り当てるには、次のようにします。

switch(config)# macsec apply policy macsecpolicy 21-24

詳細と設定手順については「ArubaOS-Switch Access Security Guide」の「Infrastructure MACsec」を参照してください。

3. Websites ,,,ウェブサイト

ネットワーキングのウェブサイト

Hewlett Packard Enterprise Networking Information Library : www.hpe.com/networking/resourcefinder

Hewlett Packard Enterprise Networking Software : www.hpe.com/networking/software

Hewlett Packard Enterprise Networking website : www.hpe.com/info/networking

Hewlett Packard Enterprise My Networking website : www.hpe.com/networking/support

Hewlett Packard Enterprise My Networking Portal : www.hpe.com/networking/mynetworking

Hewlett Packard Enterprise Networking Warranty : www.hpe.com/networking/warranty

一般的なウェブサイト

Hewlett Packard Enterprise Information Library : www.hpe.com/info/EIL

追加のWebサイトについては、後述する「Support and other resources」を参照してください。

4. Support and other resources ,,,サポートおよびその他のリソース

4-1. Accessing Hewlett Packard Enterprise Support ,,, HPE Support へのアクセス

ライブサポートについては、Hewlett Packard Enterprise WorldwideのWebサイトにアクセスしてください:

http://www.hpe.com/assistance

ドキュメントおよびサポートサービスにアクセスするには、Hewlett Packard Enterprise Support Center Webサイトにアクセス

してください: http://www.hpe.com/support/hpesc

収集する情報

テクニカルサポート登録番号 (該当する場合)

製品名、モデルまたはバージョン、シリアル番号

オペレーティングシステムの名前とバージョン

ファームウェアのバージョン

エラーメッセージ

製品固有のレポートとログ

アドオン製品またはコンポーネント

サードパーティの製品またはコンポーネント

4-2. Accessing updates ,,,アップデートへのアクセス

一部のソフトウェア製品は、製品のインタフェースを通じてソフトウェアの更新にアクセスするためのメカニズムを提供します。製

品のマニュアルを参照して、推奨されるソフトウェア更新方法を確認してください。

製品アップデートをダウンロードするには：

Hewlett Packard Enterprise Support Center: www.hpe.com/support/hpesc

Hewlett Packard Enterprise Support Center: Software downloads : www.hpe.com/support/downloads

Software Depot: www.hpe.com/support/softwaredepot

eNewslettersとアラートを購読するには: www.hpe.com/support/e-updates

資格の表示/更新、契約書と保証をプロファイルにリンクさせるには、HPEサポートセンタにアクセスしてください。サポート資料へ

のアクセスに関する詳細情報ページ: www.hpe.com/support/AccessToSupportMaterials

IMPORTANT: 一部の更新プログラムにアクセスするには、HPEサポートセンタからアクセスする際に製品資格情報が必要な場合があ

ります。HPE Passportに関連する資格情報が設定されている必要があります。

4-3. Customer self repair ,,,カスタマの自己修復

HPE顧客自己修復(CSR)プログラムでは、製品を修理することができます。CSR部品を交換する必要がある場合は、お客様自身で CSR

部品を直接取り付けることができます。CSRの資格がない部品もあります。あなたの HPE認定サービスプロバイダは、CSRによって

修復が可能かどうかを判断します。

CSRの詳細については、お近くのサービスプロバイダに連絡するか、CSR Webサイトを参照してください:

http://www.hpe.com/support/selfrepair

4-4. Remote support ,,,リモートサポート

リモートサポートは、保証または契約サポート契約の一環として、サポートされているデバイスで利用できます。インテリジェントな

イベント診断、HPEへのハードウェアイベント通知の自動、安全な提出を提供し、製品のサービスレベルに基づいて迅速かつ正確な解

決を開始します。リモートサポートのためにデバイスを登録することを強くお勧めします。

製品に追加のリモートサポートの詳細が含まれている場合は、検索を使用してその情報を特定します。

リモートサポートとプロアクティブケア情報

HPE Get Connected: www.hpe.com/services/getconnected

HPE Proactive Care services: www.hpe.com/services/proactivecare

HPE Proactive Care service: Supported products list: www.hpe.com/services/proactivecaresupportedproducts

HPE Proactive Care advanced service: Supported products list:

www.hpe.com/services/proactivecareadvancedsupportedproducts

プロアクティブケア顧客情報

Proactive Care central: www.hpe.com/services/proactivecarecentral

Proactive Care service activation: www.hpe.com/services/proactivecarecentralgetstarted

4-5. Warranty information ,,,保証情報

製品の保証情報を表示するには、以下のリンクを参照してください。

HPE ProLiant and IA-32 Servers and Options: www.hpe.com/support/ProLiantServers-Warranties

HPE Enterprise and Cloudline Servers: www.hpe.com/support/EnterpriseServers-Warranties

HPE Storage Products: www.hpe.com/support/Storage-Warranties

HPE Networking Products: www.hpe.com/support/Networking-Warranties

4-6. Regulatory information ,,,規制情報

製品の規制情報を表示するには、HPEサポートセンタにあるサーバ、ストレージ、電源、ネットワーキング、およびラック製品の安全

性および準拠に関する情報を参照してください: www.hpe.com/support/Safety-Compliance-EnterpriseProducts

その他の規制情報

HPEは、REACH(欧州議会および理事会の規制 EC No 1907/2006)などの法的要件を遵守するために必要とされるように、製品の化学

物質に関する情報をお客様に提供することに努めています。 この製品の化学情報レポートは次の場所にあります:

www.hpe.com/info/reach

RoHSおよび REACHを含む HPE製品の環境および安全に関する情報および適合データについては、以下を参照してください:

www.hpe.com/info/ecodata

企業プログラム、製品リサイクル、およびエネルギー効率を含む HPE環境情報については、以下を参照してください:

www.hpe.com/info/environment

4-7. Documentation feedback ,,,ドキュメンテーションのフィードバック

HPEはお客様のニーズに合った文書を提供することに努めています。ドキュメンテーションの改善に役立てるため、エラー、提案、ま

たはコメントをドキュメンテーションのフィードバック(docsfeedback@hpe.com)に送ってください。フィードバックを提出するとき

は、ドキュメントの表紙にあるドキュメントのタイトル、製品番号、エディション、および出版日を記載してください。オンラインヘ

ルプのコンテンツには、法的通知ページにある製品名、製品バージョン、ヘルプエディション、および出版日を記載してください。

Appendix A: Local certificate authority with OpenSSL ,,,付録 A: OpenSSL を使用するローカル認証局

このガイドで扱う多くの機能は、セキュリティで保護された接続が確立されたときにデバイスを識別して認証するために使用されるセ

キュリティ証明書の生成に依存しています。これらの機能を使用するために、次の 2種類の証明書を生成することができます: 1つは自

己署名証明書、これはデバイス自体によって生成され、署名され、通常は非実働テスト環境で使用されます。もう 1つは、著名された

証明書、組織内または公衆インターネット上のクライアントとサーバの IDを検証するために広く使用されている信頼できる CAによっ

て発行された署名入りの証明書が含まれます。

次の例は、Ubuntu Linuxと OpenSSL暗号化ライブラリを使用してローカル認証局を設定する方法を示しています。

root@localca:~# apt-get update

root@localca:~# apt-get install openssl

root@localca:~# mkdir ./localCA

root@localca:~# mkdir ./localCA/private/

root@localca:~# mkdir ./localCA/certs/

root@localca:~# mkdir ./localCA/newcerts/

root@localca:~# touch ./localCA/serial

root@localca:~# chmod 777 ./localCA/serial

root@localca:~# touch 777 ./localCA/cacert.pem

root@localca:~# touch 777 ./localCA/private/cakey.pem

root@localca:~# touch 777 ./localCA/index.txt

root@localca:~# echo 1000 > ./localCA/serial

root@localca:~# chmod 600 ./localCA/index.txt ./localCA/serial /etc/ssl/openssl.cnf

root@localca:~# openssl req -newkey rsa:2048 -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Generating a 2048 bit RSA private key

...............+++

.+++

writing new private key to 'cakey.pem'

Enter PEM pass phrase:

Verifying - Enter PEM pass phrase:

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:US

State or Province Name (full name) [Some-State]:California

Locality Name (eg, city) []:Roseville

Organization Name (eg, company) [Internet Widgits Pty Ltd]:HPE

Organizational Unit Name (eg, section) []:Aruba

Common Name (e.g. server FQDN or YOUR name) []:localCA

Email Address []:

OpenSSHなどの SFTPサーバをインストールし、CAルート証明書ファイル「cacert.pem」を SFTPルートフォルダにコピーします。

このファイルは、SSLルート証明書または TLS証明書を生成するために CAルート証明書が必要になるたびに、このガイドで使用され

ます。

別の証明書サービスプラットフォームを利用するには、該当するプラットフォームのドキュメントを参照してください。