ユーザーアカウント管理の強化
ヤマハ・ネットワーク機器は、サイバーセキュリティに対する取り組みとして、ユーザーアカウント管理の強化を行いました。
対策したファームウェアを適用していただくことで、サイバー攻撃に悪用されるおそれを排除し、安心してご利用いただけます。
ユーザーアカウント管理・強化の概要
スイッチ製品のユーザーアカウントには、管理者とゲストユーザーがあります。
セキュリティを強化するにあたり、管理者、ゲストユーザーの認証を以下のように強化しました。
- 管理者登録の必須化
- ゲストユーザーによる操作の厳格化
- ブルートフォースアタック (総当たり攻撃) への対策
本製品の管理者登録は必須ではありませんでしたが、1名以上必ず登録するルールとしました。
このため、本製品に初めてログインする際に使用する 初期管理ユーザー(ユーザー名: admin 、パスワード: admin ) を追加しました。
ゲストユーザーの本製品への設定は、特権パスワード(管理パスワード)の登録状況によっては、認証なしで行うことができました。
このため、特権パスワード(管理パスワード)の登録を必須化することで、設定を行う際、特権パスワードによる認証を行うようにしました。
また、サイバー攻撃の温床になりかねないゲストユーザーの一つである無名ユーザーを廃止しました。
本製品への総当たり攻撃の対策の一つとして、ログイン認証失敗時、制限を設けました。
具体的には、コンソールやWeb GUIなどで本製品にログインする際、パスワードを3回連続で間違えると、その後 1分間 は正しいパスワードを入力してもログイン不可としました。
対策モデルとファームウェアバージョン
ユーザーアカウント管理の強化を行ったスイッチの一覧とファームウェアのバージョンは以下となります。
製品カテゴリ |
製品名 |
ファームウェアバージョン |
リリースノート |
|---|---|---|---|
| スマートL2スイッチ | SWX2220-10NT | Rev.1.04.03 以降 | HTML TXT |
| SSWX2220-18NT/ 26NT | Rev.1.04.06 以降 | - | |
| SWX2221P-10NT | Rev.1.05.03 以降 | HTML TXT | |
| SWX2220P-18NT/ 26NT | Rev.1.05.06 以降 | - | |
| インテリジェントL2スイッチ | SWX2320-16MT | Rev.2.05.10 以降 | HTML TXT |
| SWX2322P-16MT | Rev.2.06.10 以降 | HTML TXT | |
| スタンダードL3スイッチ | SWX3220-16MT/ 16TMs | Rev.4.02.10 以降 | HTML TXT |
製品カテゴリ |
製品名 |
ファームウェアバージョン |
リリースノート |
|---|---|---|---|
| インテリジェントL2スイッチ | SWX2310-10G/ 18GT/ 28GT/ 52GT | Rev.2.04.11 以降 | HTML TXT |
| SWX2310P-10G/ 18G/ 28GT | Rev.2.02.24 以降 | HTML TXT | |
| ライトL3スイッチ | SWX3100-10G/ 18GT | Rev.4.01.29 以降 | HTML TXT |
| スタンダードL3スイッチ | SWX3200-28GT/ 52GT | Rev.4.00.25 以降 | HTML TXT |
ユーザーアカウント環境の整備方法
お客様が利用するスイッチのファームウェアの状況により、整備方法が異なります。
以下の二つの整備方法について、説明します。
導入時点で対策ファームウェアが書き込まれたスイッチを利用する場合
スイッチの起動後、以下の4ステップでユーザーアカウント環境を整備します。
コンソール、TELNETからのコマンド操作、Web GUI からの操作、どちらからも整備できます。
- 初期管理ユーザーは、ユーザ名: admin, パスワード: admin です。
- ログイン後、初期管理ユーザーのパスワードの変更が促されます。
- username コマンドで作成する場合は、 privilege オプションを有効 (on) にして作成します。
- 新規に管理者アカウントを登録した場合、初期管理ユーザーを削除することができます。 削除する場合は、新たに作成した管理者アカウントでログインしてから削除してください。
- username コマンドで作成する場合は、 privilege オプションを無効 (off) にして作成します。
- 特権パスワード (管理パスワード) は、デフォルトで admin が設定されています。
- 特権パスワード (管理パスワード) の変更をコマンドで行う場合は、enable password コマンドを使用します。
- 特権パスワード (管理パスワード) を変更しないと以下の操作に制限がかかります。
- ゲストユーザーは特権EXECモードに遷移できません
- コマンド、Web GUI の操作により、工場出荷状態に戻すことはできません
- 該当スイッチは、TFTPサーバーとして接続を受け付けません
お客様が対策ファームウェアに更新してスイッチを利用する場合
以下の4ステップでユーザーアカウント環境を整備します。
対策ファームウェアに更新する前にアカウント環境の整備を行い (Step1~3)、対策ファームウェアに更新 (Step4)します。
コンソール、TELNETからのコマンド操作、Web GUI からの操作、どちらからも整備できます。
- 既に管理者アカウントが存在する場合は、作成は不要です。
ただし、管理者アカウントのパスワードが未設定の場合、パスワードを必ず登録してください。 - 管理者アカウントのユーザー名は、初期管理ユーザーのユーザー名である admin でも問題ありません。
- username コマンドで作成する場合は、 privilege オプションを有効 (on) にして作成します。
- username コマンドで作成する場合は、 privilege オプションを無効 (off) にして作成します。
- 特権パスワード (管理パスワード) は、 admin 以外を設定してください。
- 特権パスワード (管理パスワード) の変更をコマンドで行う場合は、enable password コマンドを使用します。
- 特権パスワード (管理パスワード) を変更しないと以下の操作に制限がかかります。
- ゲストユーザーは特権EXECモードに遷移できません
- コマンド、Web GUI の操作により、工場出荷状態に戻すことはできません
- 該当スイッチは、TFTPサーバーとして接続を受け付けません
- ファームウェアの更新手順に従って、対策ファームウェアに更新します。
なお、更新手順は、各製品の技術資料を参照ください。
関連文書
ユーザーアカウント管理の強化に関連するドキュメントを以下にまとめました。
機器の設定にご活用ください。
製品カテゴリ |
製品名 |
ログインセキュリティ |
ユーザーアカウント管理 |
|---|---|---|---|
| スマートL2スイッチ | SWX2220-10NT | HTML | HTML |
| SWX2220-18NT/ 26NT | HTML | HTML | |
| SWX2221P-10NT | HTML | HTML | |
| SWX2220P-18NT/ 26NT | HTML | HTML | |
| インテリジェントL2スイッチ | SWX2320-16MT | HTML | HTML |
| SWX2322P-16MT | HTML | HTML | |
| スタンダードL3スイッチ | SWX3220-16MT/ 16TMs | HTML | HTML |
製品カテゴリ |
製品名 |
ログインセキュリティ |
ユーザーアカウント管理 |
|---|---|---|---|
| インテリジェントL2スイッチ | SWX2310-10G/ 18GT/ 28GT/ 52GT | HTML | HTML |
| SWX2310P-10G/ 18G/ 28GT | HTML | HTML | |
| ライトL3スイッチ | SWX3100-10G/ 18GT | HTML | HTML |
| スタンダードL3スイッチ | SWX3200-28GT/ 52GT | HTML | HTML |