【Cisco】Smart Install (vstack)の脆弱性対策

Cisco Catalystスイッチに搭載されているSmart Install (vstack)は、よく脆弱性が発表されます。Cisco社の発表を元に、対策を検討してみました。

<参考>
Cisco IOS および IOS XE の Smart Install 機能を保護するために必要なアクション

[第3版] Cisco LANスイッチ教科書
インプレス (2014-03-20)
売り上げランキング: 71,619

Smart Installの概要

Smart Installは、Cisco Catalystスイッチに搭載された、ゼロタッチプロビショニングと呼ばれるジャンルの機能です。機器を購入後、ネットワークに接続すると自動的に設定が行われるため、大量の機器を設置する必要のあるネットワークで重宝します。機器構成としては、設定を管理するディレクタと、設定を受け取るクライアントに分類できます。新たに設置する機器は、クライアントとしてディレクタから設定を受け取ります。
なお、IOSのコンフィグ上は、Smart Installではなくvstackという設定コマンドが使用されています。

一見便利なSmart Installですが、数年おきに脆弱性が発見されています。ここで厄介なのは、Smart Installが搭載されているCatalystスイッチは、標準で同機能が有効になっている点です。Catalystスイッチを設定する際は、Smart Installの使用有無に関わらず対策を行う必要があります。

Smart Installの動作確認

現在使用しているCatalystスイッチでSmart Installが有効になっているかは、以下のコマンドで確認します。コマンドの実行結果のうち、Oper Mode: Disabledが表示されていれば、Smart Installは無効状態です。この場合は、新たな脆弱性対策は不要です。Oper Mode: Enabledと表示される場合は、Smart Installが有効状態です。脆弱性対策を検討する必要があります。

#show vstack config 
 Capability: Client
 Oper Mode: Disabled
 Role: NA
 Vstack Director IP address: 0.0.0.0

Smart Installを使用しない場合の脆弱性対策

Smart Installを使用しない場合は、機能自体を無効化してしまいます。以下のコマンドを実行することで、Smart Installが無効化できます。

# configure terminal
(config)# no vstack 
(config)# end
# write memory

Smart Installを使用する場合の脆弱性対策

Smart Installを使用する場合は、TCP/4786についてディレクタからの通信のみ許可するACLを設定します。
3行目の<ディレクタIPアドレス><クライアントIPアドレス>には、それぞれのIPアドレスを指定します。
4行目で、3行目で定義した送信元、宛先のIPアドレス以外のTCP/4786通信を全て拒否します。
5行目で、上記条件に当てはまらない全ての通信を許可します。
7行目で、ACLを適用するインターフェースとしてVlan1を指定しています。実際に設定するときは、環境に合わせてインターフェース名を読み替えてください。
8行目で、作成したACLをインバウンド方向に適用しています。

# configure terminal
(config)# ip access-list extended allow-smart-intall
(config-ext-nacl)# permit tcp host <ディレクタIPアドレス> host <クライアントIPアドレス> eq 4786
(config-ext-nacl)# deny tcp any any eq 4786
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# exit
(config)# interface Vlan1
(config-if)# ip access-group allow-smart-intall in
(config-if)# end
# write memory

なお、既にインターフェースにACLを設定している場合は、設定済みのACLに上記の通信制御ルールを組み込む必要があります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です