ログインセキュリティー
1. 概要
ヤマハ・ネットワーク機器は、サイバーセキュリティーに対する取り組みとして、以下の対策によりログインセキュリティーの強化を行いました。
-
管理パスワードの強制設定
-
連続ログイン失敗後のログイン禁止時間の導入
-
管理パスワード未設定時の通信制限
-
Telnetアクセス直後の機器に関する情報表示の変更
対策した機器・ファームウェアを適用していただくことで、サイバー攻撃に悪用されるおそれを排除し、安心してご利用いただけます。
2. 注意事項
-
本対策が適用されたAPに対して、以下の操作により管理パスワードが設定されていないコンフィグを読み込んだ場合、当該APは設定通りの動作をしますが、管理パスワード未設定時の通信制限により、当該APに対して異なるネットワークからのWeb GUIへのアクセス、Telnetによるアクセスはできなくなります(YNOマネージャー、ヤマハルーター/スイッチのLANマップからのWeb GUIのアクセスを除く)ので、管理パスワードを設定することを強くお勧めします。
-
管理パスワードが設定されていないコンフィグのまま、本対策が適用されたファームウェアに更新する
-
PCから管理パスワードが設定されていないコンフィグをリストアする
-
クラスター管理機能により管理パスワードが設定されていないコンフィグが同期される
-
YNOマネージャーから管理パスワードの設定されていないグループコンフィグが同期される
-
-
管理パスワードの空パスワード(パスワードなし)の再設定はWeb GUI/CLIではできません。
3. 対応ファームウェアリビジョン
このページで説明する内容は、以下のファームウェアを対象としています。
また、以下のファームウェアリビジョン以降で管理パスワードの設定が必須となりました。
モデル | ファームウェア |
---|---|
WLX212 |
Rev.21.00.12以降 |
WLX413 |
Rev.22.00.05以降 |
WLX222 |
Rev.24.00.01以降 |
WLX322 |
Rev.25.00.02以降 |
WLX323 |
Rev.25.01.02以降 |
4. 詳細
4.1. 管理パスワードの強制設定
本対策を適用した機器・ファームウェアでは、ログイン時に管理パスワードが設定されていないときは、強制的にパスワードの設定を促す画面・メッセージを表示します。管理パスワードを設定しないまま、Web GUI/CLIから設定や操作を行うことはできませんので、表示画面・メッセージに従って必ず管理パスワードを設定するようにしてください。ただし、Web GUIからは管理パスワードを設定する前に、次の操作は行うことはできます。
-
クラスター動作モードの変更
-
ファームウェア更新
管理パスワードの設定手順については以下を参照してください。
4.2. 連続ログイン失敗後のログイン禁止時間の導入
Web GUI/CLIで管理パスワードを間違えて、連続でログインに3回失敗すると1分間ログインできなくなります。ログイン認証失敗時にアクセス制限を設けることで、本製品に対する総当たり攻撃を回避するための対策としています。管理パスワードの入力ミスがあった場合は、1分以上時間を空けてから再度ログインしてください。
-
Web GUI
-
ログインのアクセス制御はクライアントのIPアドレスごとに管理されます。
-
ログインに3回連続失敗してアクセス制限がかかったときは以下のSYSLOGメッセージを出力します。
[SYSTEM]<5131> Login access from HTTP was restricted.: IPアドレス -
アクセス制限中にログインしようとしたときは以下のSYSLOGメッセージを出力します。
[SYSTEM]<5132> Login failed for HTTP: IPアドレス -
アクセス制限中は当該クライアントからのアクセスに対してステータスコード403を返します。
-
-
Telnet
-
ログインのアクセス制御はクライアントのIPアドレスごとに管理されます。
-
ログインに3回連続してアクセス制限がかかったときは以下のSYSLOGメッセージを出力します。
[SYSTEM]<5131> Login access from telnet was restricted.: IPアドレス -
アクセス制限中にログインしようとしたときは以下のSYSLOGメッセージを出力します。
[SYSTEM]<5132> Login failed for telnet: IPアドレス -
アクセス制限中は当該クライアントからの接続は受け付けません。
-
-
シリアルコンソール
-
ログインに3回連続失敗してアクセス制限がかかったときは以下のSYSLOGメッセージを出力します。
[SYSTEM]<5131> Login access from serial console was restricted. -
アクセス制限中にログインしようとしたときは以下のSYSLOGメッセージを出力します。
[SYSTEM]<5132> Login failed for serial console -
アクセス制限中はプロンプトに以下のメッセージを出力します。
> administrator
Blocked upon 3 failed login attempts. Please try again later.
-
4.3. 管理パスワード未設定時の通信制限
管理パスワード未設定時、TelnetやHTTPプロトコルを利用したアプリやツールからAPにアクセスする場合、APと同じネットワークにいるクライアントからのアクセスのみを許可し、異なるネットワークのクライアントからのアクセスは許可しません。これは、管理パスワードが設定されていないAPに対して、遠隔のネットワークにいるクライアントからのTelnetやHTTPのアクセスにより、APの設定情報を簡単に盗み出されたり、改ざんされることを防ぐための対策です。
ただし、APのWeb GUIに対するアクセスについては、YNOマネージャーやヤマハルーター/スイッチのLANマップからアクセスする場合は、この制限には該当しません。
4.4. Telnetアクセス直後の機器に関する情報表示の変更
Telnetクライアントからアクセスしたとき、管理者権限に移行するまではファームウェアのリビジョン番号や機器のMACアドレスなどの機器情報は表示されず、管理パスワードを入力した後に機器に関する情報を表示します。
Telnetクライアントからのアクセスについては以下を参照してください。
5. SYSLOG メッセージ一覧
以下の文書を参照してください。