Cisco 841Mで外部からの管理画面(ccp express)への接続を制限する
841Mをルーターとして設定しただけだと、外部グローバルアドレスにブラウザからアクセスすると、ccp expressの認証画面が表示されてしまいます。
また、telnetやsshでも認証まで進んでしまいます。
GUIで簡単に設定はできると言っても、やはりCISCOなのでこの辺りはしっかりと設定を入れてあげる必要があります。
今回は、下記のように設定しようと思います。
・外部(WAN側)からのGUI、telnet、sshへのアクセス禁止
・内部(LAN側)からのGUI、telnet、sshのアクセス許可
普通のCISCOルーターでしたら、telnet、sshを外部から接続禁止にして、httpとhttpsサービスをoffにするだけですが、
せっかくGUI(ccp express)が利用できるので、内部からはアクセスできるようにしようと思います。
ざっくりとした流れでは、不必要なサービスを停止して、ACLを作成して、WAN側のインバウンドに適用させます。
アクセスリストを作成してインターフェイスに適用させる
Router(config)#no ip http secure-server←httpsサーバーを無効にします。 Router(config)#ip access-list extended WAN_ACL←IP名前付きACLを作成します。 Router(config-ext-nacl)#ip access-list extended WAN_ACL←IP名前付きACLを作成します。今回はWAN_ACLとして作成しました。 Router(config-ext-nacl)#deny ip 0.0.0.0 0.0.0.255 any←ここから、9行は基本セキュリティ設定となります。 Router(config-ext-nacl)#deny ip 127.0.0.0 0.255.255.255 any Router(config-ext-nacl)#deny ip 169.254.0.0 0.0.255.255 any Router(config-ext-nacl)#deny ip 192.0.2.0 0.0.0.255 any Router(config-ext-nacl)#deny ip 224.0.0.0 15.255.255.255 any Router(config-ext-nacl)#deny ip 240.0.0.0 0.255.255.255 any Router(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any Router(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any Router(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any←ここまでがスプーフィングによる不正アクセスを防止するための内容です。 Router(config-ext-nacl)#deny tcp any any eq 23←telnet(23番ポート)の拒否。 Router(config-ext-nacl)#deny tcp any any eq 22←ssh(22番ポート)の拒否。 Router(config-ext-nacl)#deny tcp any any eq 80←http(80番ポート)の拒否。 Router(config-ext-nacl)#permit ip any any←最後に全ての通信を許可します。 Router(config-ext-nacl)#exit←名前付きアクセスリストを抜けます。 Router(config)#interface Dialer 1←今回はPPPoE接続なので、Dialer1に設定を入れます。 Router(config-if)#ip access-group WAN_ACL in←Dialer1のin側にACLを適用させます。
以上でACLの設定が完了しました。
WAN側からはGUI、telnet、sshへアクセスできず、LAN側からはいづれもアクセス可能なことを確認してください。
その他無効にしておいた方がサービス
その他にも無効にしておいた方が良いサービスがありますので、必要に応じて設定を行います。
例えば、隣接するCisco機器を認識できるCisco独自のプロトコルである、CDPなどは必要なければ無効にしておいてください。
Router(config)#no no cdp enable←cdpを無効にします。