【Cisco】Smart Install (vstack)の脆弱性対策
Cisco Catalystスイッチに搭載されているSmart Install (vstack)は、よく脆弱性が発表されます。Cisco社の発表を元に、対策を検討してみました。
<参考>
Cisco IOS および IOS XE の Smart Install 機能を保護するために必要なアクション
![[第3版] Cisco LANスイッチ教科書](https://images-fe.ssl-images-amazon.com/images/I/51Y8iQTh5OL._SL160_.jpg)
売り上げランキング: 71,619
Contents
Smart Installの概要
Smart Installは、Cisco Catalystスイッチに搭載された、ゼロタッチプロビショニングと呼ばれるジャンルの機能です。機器を購入後、ネットワークに接続すると自動的に設定が行われるため、大量の機器を設置する必要のあるネットワークで重宝します。機器構成としては、設定を管理するディレクタと、設定を受け取るクライアントに分類できます。新たに設置する機器は、クライアントとしてディレクタから設定を受け取ります。
なお、IOSのコンフィグ上は、Smart Installではなくvstackという設定コマンドが使用されています。
一見便利なSmart Installですが、数年おきに脆弱性が発見されています。ここで厄介なのは、Smart Installが搭載されているCatalystスイッチは、標準で同機能が有効になっている点です。Catalystスイッチを設定する際は、Smart Installの使用有無に関わらず対策を行う必要があります。
Smart Installの動作確認
現在使用しているCatalystスイッチでSmart Installが有効になっているかは、以下のコマンドで確認します。コマンドの実行結果のうち、Oper Mode: Disabledが表示されていれば、Smart Installは無効状態です。この場合は、新たな脆弱性対策は不要です。Oper Mode: Enabledと表示される場合は、Smart Installが有効状態です。脆弱性対策を検討する必要があります。
#show vstack config
Capability: Client
Oper Mode: Disabled
Role: NA
Vstack Director IP address: 0.0.0.0
Smart Installを使用しない場合の脆弱性対策
Smart Installを使用しない場合は、機能自体を無効化してしまいます。以下のコマンドを実行することで、Smart Installが無効化できます。
# configure terminal
(config)# no vstack
(config)# end
# write memory
Smart Installを使用する場合の脆弱性対策
Smart Installを使用する場合は、TCP/4786についてディレクタからの通信のみ許可するACLを設定します。
3行目の<ディレクタIPアドレス>、<クライアントIPアドレス>には、それぞれのIPアドレスを指定します。
4行目で、3行目で定義した送信元、宛先のIPアドレス以外のTCP/4786通信を全て拒否します。
5行目で、上記条件に当てはまらない全ての通信を許可します。
7行目で、ACLを適用するインターフェースとしてVlan1を指定しています。実際に設定するときは、環境に合わせてインターフェース名を読み替えてください。
8行目で、作成したACLをインバウンド方向に適用しています。
# configure terminal
(config)# ip access-list extended allow-smart-intall
(config-ext-nacl)# permit tcp host <ディレクタIPアドレス> host <クライアントIPアドレス> eq 4786
(config-ext-nacl)# deny tcp any any eq 4786
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# exit
(config)# interface Vlan1
(config-if)# ip access-group allow-smart-intall in
(config-if)# end
# write memory
なお、既にインターフェースにACLを設定している場合は、設定済みのACLに上記の通信制御ルールを組み込む必要があります。
