tag:crieit.net,2005:https://crieit.net/tags/telnet/feed
「telnet」の記事 - Crieit
Crieitでタグ「telnet」に投稿された最近の記事
2021-06-10T12:26:48+09:00
https://crieit.net/tags/telnet/feed
tag:crieit.net,2005:PublicArticle/17386
2021-06-10T12:26:48+09:00
2021-06-10T12:26:48+09:00
https://crieit.net/posts/telnet-VTY-ACL
telnetで使用するVTYにACLを適用させるメモ
<h1 id="telnet?ACL?って何ぞや"><a href="#telnet%3FACL%3F%E3%81%A3%E3%81%A6%E4%BD%95%E3%81%9E%E3%82%84">telnet?ACL?って何ぞや</a></h1>
<h2 id="telnetとは"><a href="#telnet%E3%81%A8%E3%81%AF">telnetとは</a></h2>
<p>リモートアクセスでの遠隔操作用のプロトコル<br />
暗号化されてない<br />
詳しくは→<a href="https://crieit.net/posts/Cisco">リモートでルータなどのネットワーク機器を使用したい時に見るざっくりメモ</a></p>
<h2 id="ACLとは"><a href="#ACL%E3%81%A8%E3%81%AF">ACLとは</a></h2>
<p>通信の種類によって通したり通さなかったりする設定をまとめたリスト<br />
詳しくは→<a href="https://crieit.net/posts/ACL">ACLメモ</a></p>
<h1 id="なんでこんなやり方でやるのか"><a href="#%E3%81%AA%E3%82%93%E3%81%A7%E3%81%93%E3%82%93%E3%81%AA%E3%82%84%E3%82%8A%E6%96%B9%E3%81%A7%E3%82%84%E3%82%8B%E3%81%AE%E3%81%8B">なんでこんなやり方でやるのか</a></h1>
<p>– 物理インターフェース毎にACLを適用するのは大変<br />
– 宛先のIPアドレス(TelnetサーバのIPアドレス)として、そのネットワーク機器が持つ全てのIPアドレスを考慮する必要がある</p>
<h1 id="設定の仕方(コマンド集)"><a href="#%E8%A8%AD%E5%AE%9A%E3%81%AE%E4%BB%95%E6%96%B9%EF%BC%88%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E9%9B%86%EF%BC%89">設定の仕方(コマンド集)</a></h1>
<p>【STEP1】標準ACLの作成<br />
※送信元IPアドレスで制限するのが一般的<br />
詳しくは→<a href="https://crieit.net/posts/ACL-60c17a42cb231">標準ACLメモ</a><br />
【STEP2】VTYにACLを適用</p>
<pre><code>Router(config)#line˽vty˽0˽4
Router(config-line)#access-class˽<リスト名(番号)>˽in
</code></pre>
tobara
tag:crieit.net,2005:PublicArticle/17367
2021-06-07T20:47:39+09:00
2021-06-07T20:47:39+09:00
https://crieit.net/posts/Cisco
リモートでルータなどのネットワーク機器を使用したい時に見るざっくりメモ(Cisco)
<h1 id="初めに"><a href="#%E5%88%9D%E3%82%81%E3%81%AB">初めに</a></h1>
<p>リモートでネットワーク機器に接続する場合以下の2種類の方法がある。<br />
1.コンソール接続<br />
2.ネットワークを介してアクセス</p>
<p>1のコンソール接続とはCiscoデバイスにコンソールポートというポートがあり、そのポートからコンソールケーブルでPCと直接接続する方式</p>
<p>2のネットワークを介してアクセスとは遠隔操作用のプロトコル<strong>telnet、ssh</strong>を利用してネットワークを通じて接続する方式<br />
ここでは後者である2のほうを解説していく</p>
<h1 id="telnetとssh"><a href="#telnet%E3%81%A8ssh">telnetとssh</a></h1>
<p>どちらもリモートアクセスでの遠隔操作用のプロトコル<br />
大きな違いとしてtelnetは暗号化されていない、sshは暗号化通信であること</p>
<h2 id="telnetをもうちょい詳しく"><a href="#telnet%E3%82%92%E3%82%82%E3%81%86%E3%81%A1%E3%82%87%E3%81%84%E8%A9%B3%E3%81%97%E3%81%8F">telnetをもうちょい詳しく</a></h2>
<p>TCPポート番号23<br />
リモート接続にはVTY(Virtual Teletype)回線を使用<br />
VTY回線は仮想的な回線で、利用するためには認証の設定が必要。<br />
(機器によって5~16回線用意されている)さらに前提として、enableパスワード設定が必要。</p>
<h2 id="sshをもうちょい詳しく"><a href="#ssh%E3%82%92%E3%82%82%E3%81%86%E3%81%A1%E3%82%87%E3%81%84%E8%A9%B3%E3%81%97%E3%81%8F">sshをもうちょい詳しく</a></h2>
<p>TCPポート番号22<br />
sshを利用した通信は、telnet同様VTY回線を使用するが、暗号化されてるので、telnetを利用するよりセキュア。今回のメモで認証にはパスワード認証を利用し、その際には機器に設定したユーザーアカウントで認証を行う。</p>
<h1 id="初期設定"><a href="#%E5%88%9D%E6%9C%9F%E8%A8%AD%E5%AE%9A">初期設定</a></h1>
<h3 id="enable(特権モード)のパスワード設定"><a href="#enable%EF%BC%88%E7%89%B9%E6%A8%A9%E3%83%A2%E3%83%BC%E3%83%89%EF%BC%89%E3%81%AE%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E8%A8%AD%E5%AE%9A">enable(特権モード)のパスワード設定</a></h3>
<h6 id="セキュリティ的にまずこれはやらないとダメ"><a href="#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E7%9A%84%E3%81%AB%E3%81%BE%E3%81%9A%E3%81%93%E3%82%8C%E3%81%AF%E3%82%84%E3%82%89%E3%81%AA%E3%81%84%E3%81%A8%E3%83%80%E3%83%A1">セキュリティ的にまずこれはやらないとダメ</a></h6>
<p>暗号化無し版</p>
<pre><code>Router(config)#enable password パスワード
</code></pre>
<p>暗号化有り版</p>
<pre><code>Router(config)#enable secret パスワード
</code></pre>
<h1 id="telnetの設定(コマンド集)"><a href="#telnet%E3%81%AE%E8%A8%AD%E5%AE%9A%EF%BC%88%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E9%9B%86%EF%BC%89">telnetの設定(コマンド集)</a></h1>
<p>①ラインコンフィギュレーションモードへ移動</p>
<pre><code>Router(config)#line vty 開始ライン番号 終了ライン番号
</code></pre>
<p>②ログインパスワードの設定</p>
<pre><code>Router(config-line)#password パスワード
Router(config-line)#login
</code></pre>
<p>※ホスト名も設定しておかないと、どの機器にリモート接続しているのかわからなくなってしまうのでできればhostnameコマンドで名前も付けたほうがいい</p>
<p>③リモート接続する(ルータから他のネットワーク機器にリモートアクセスする場合)</p>
<pre><code>Router#telnet 対象機器のIPアドレス/ホスト名
</code></pre>
<p>④現在のTelnetログイン状況の確認<br />
(操作しているデバイスに「*」がついて表示)</p>
<pre><code>Router#show users
</code></pre>
<h1 id="sshの設定(コマンド集)"><a href="#ssh%E3%81%AE%E8%A8%AD%E5%AE%9A%EF%BC%88%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E9%9B%86%EF%BC%89">sshの設定(コマンド集)</a></h1>
<h2 id="前提として必要な設定"><a href="#%E5%89%8D%E6%8F%90%E3%81%A8%E3%81%97%E3%81%A6%E5%BF%85%E8%A6%81%E3%81%AA%E8%A8%AD%E5%AE%9A">前提として必要な設定</a></h2>
<p>①ユーザアカウントの設定(enableパスワードとは違う)</p>
<pre><code>Router(config)#username ユーザ名 password パスワード
</code></pre>
<p>②ホスト名の設定</p>
<pre><code>Router(config)#hostname ホスト名
</code></pre>
<p>③ドメイン名の設定</p>
<pre><code>Router(config)#ip domain-name ドメイン名
</code></pre>
<h2 id="sshに関する設定"><a href="#ssh%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E8%A8%AD%E5%AE%9A">sshに関する設定</a></h2>
<p>①RSA暗号鍵の設定</p>
<pre><code>RT1(config)#crypto key generate rsa
↓
暗号鍵のbit数を問われるのでbit数を打ち込む(デフォルトで512だが2048以上が普通)
</code></pre>
<p>②ローカル認証設定(設定したユーザアカウントで認証)</p>
<pre><code>RT1(config)#line vty 開始ライン番号 終了ライン番号
RT1(config-line)#login local
</code></pre>
<p>③VTY回線での接続許可設定</p>
<pre><code>RT1(config-line)#transport input all/telnet/ssh/none
※デフォルトでは「all」になっている
⇒ telnet、ssh、両方が許可されている
</code></pre>
<p>④リモート接続する(ルータから他のネットワーク機器にリモートアクセスする場合)</p>
<pre><code>Router#ssh –l ユーザ名 対象機器のIPアドレス/ホスト名
</code></pre>
<p>⑤sshのログイン状況確認コマンド</p>
<pre><code>RT1#show ssh
</code></pre>
<h1 id="おまけ"><a href="#%E3%81%8A%E3%81%BE%E3%81%91">おまけ</a></h1>
<h2 id="コンソール接続にもパスワード設定できる(コマンド集)"><a href="#%E3%82%B3%E3%83%B3%E3%82%BD%E3%83%BC%E3%83%AB%E6%8E%A5%E7%B6%9A%E3%81%AB%E3%82%82%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E8%A8%AD%E5%AE%9A%E3%81%A7%E3%81%8D%E3%82%8B%EF%BC%88%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E9%9B%86%EF%BC%89">コンソール接続にもパスワード設定できる(コマンド集)</a></h2>
<p>①ラインコンフィギュレーションモードへ移動</p>
<pre><code>Router(config)#line console 0
</code></pre>
<p>②ログインパスワードの設定</p>
<pre><code>Router(config-line)#password パスワード
Router(config-line)#login
</code></pre>
<h2 id="パスワードの暗号化設定"><a href="#%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96%E8%A8%AD%E5%AE%9A">パスワードの暗号化設定</a></h2>
<p>enableパスワード以外のパスワードを暗号化する場合、専用のコマンドがないので、まとめてパスワードを暗号化するコマンドを利用(Type7を使用して暗号化)</p>
<pre><code>RT1(config)#service password-encryption
</code></pre>
tobara