リモートアクセス制御

リモートアクセス制御

1. 機能概要

本製品では、ネットワークサービスを実現する以下のアプリケーションに対して、アクセス制限を行う機能を提供します。

  • TELNETサーバー

  • HTTP サーバー/セキュアHTTP サーバー

  • TFTP サーバー

  • SNMP サーバー

2. 用語の定義

特になし

3. 機能詳細

ネットワークサービスに対するアクセス制限として、以下の3つを可能とします。

  • 該当サービスをシステムに常駐させるかどうかの制御(起動・停止制御)

  • 受付ポート番号の変更

  • サービス起動中のアクセス元IPアドレスの限定

下表にネットワークサービスごとに対応する機能を示します。

  • ネットワークサービスに対するアクセス制御

    ネットワークサービス 起動・停止制御 受付ポート番号の変更 アクセス元の限定

    TELNET サーバー

    HTTP サーバー

    ×(常に起動)

    セキュアHTTP サーバー

    TFTP サーバー

    SNMP サーバー

    ×(常に起動)

    ×(常に161)

    1. ネットワークサービスを多重起動させることはできません。
      サービス起動中に同一サービスに対して起動制御を行うと、再立ち上げします。このため、接続中のセッションは 切断 されます。

    2. ネットワークサービスに対してのアクセス元の限定では、 アクセス元のIPアドレス(*1)アクセスの許可/拒否(*2) を指定することができます。
      (*1)…​SNMPサーバーではアクセス先のコミュニティ名もしくはユーザー名も指定可能
      (*2)…​SNMPサーバーではアクセスの許可条件のみ指定可能。

    3. ネットワークサービスの初期設定は下表のようになっています。

      ネットワークサービス 起動・停止状態 受付ポート番号 アクセス元の限定

      TELNET サーバー

      起動

      23

      全て許可

      HTTP サーバー

      起動

      80

      全て許可

      セキュアHTTP サーバー

      起動

      443

      TFTP サーバー

      停止

      69

      全て許可

      SNMP サーバー

      起動

      161

      全て許可

4. 関連コマンド

関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照してください。

ネットワークサービス 操作項目 操作コマンド

TELNETサーバー

起動停止および受付ポート番号変更

telnet-server enable (引数でポート番号を指定)

IPアドレスアクセス制御

telnet-server access

設定の表示

show telnet-server

HTTPサーバー

HTTPサーバーの受付ポート番号変更

http-server enable (引数でポート番号を指定)

セキュアHTTPサーバー起動停止および受付ポート番号変更

http-server secure enable (引数でポート番号を指定)

IPアドレスアクセス制御

http-server access

設定の表示

show http-server

TFTPサーバー

起動停止および受付ポート番号変更

tftp-server enable (引数でポート番号を指定)

IPアドレスアクセス制御

tftp-server access

SNMPサーバー

IPアドレスおよびコミュニティ名、ユーザー名でのアクセス制御

snmp-server access

5. コマンド実行例

5.1. TELNETサーバーに対するアクセス制御

TELNETサーバーに対するアクセス制限を実現します。
TELNETサーバーの受付ポートを1024に変更します。
TELNETサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
telnet-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。

Yamaha(config)#telnet-server enable 1024 (1)
Yamaha(config)#telnet-server access permit 192.168.100.1 (2)
Yamaha(config)#end
Yamaha#show telnet-server (3)
Service:Enable
Port:1024
Access:
    permit 192.168.100.1
1 受付ポートを1024に変更し、TELNETサーバーを再起動する
2 192.168.100.1からのみアクセスを許可する
3 設定状況の確認

5.2. HTTPサーバーに対するアクセス制限

HTTPサーバーに対するアクセス制限を実現します。
HTTPサーバーの受付ポートを8000に、セキュアHTTPサーバーの受付ポートを9000に変更します。
HTTPサーバーへの接続は192.168.100.1からのクライアントのみ許可します。
http-server accessを設定した場合、条件に当てはまらないIPアドレスからのアクセスは拒否します。

Yamaha(config)#http-server enable 8000 (1)
Yamaha(config)#http-server secure enable 9000 (2)
Yamaha(config)#http-server access permit 192.168.100.1 (3)
Yamaha(config)#end
Yamaha#show http-server (4)
HTTP :Enable(8000)
HTTPS:Enable(9000)
Access:
    permit 192.168.100.1
1 受付ポートを8000に変更し、HTTPサーバーを再起動する
2 受付ポートを9000に変更し、セキュアHTTPサーバーを再起動する
3 192.168.100.1からのみアクセスを許可する
4 設定状況の確認

5.3. TFTPサーバーに対するアクセス制限

TFTPサーバーに対するアクセス制限を実現します。
TFTPサーバーの受付ポートを2048に変更します。
TFTPサーバーへの接続は192.168.100.1からのクライアントのみ許可します。

Yamaha(config)#tftp-server enable 2048 (1)
Yamaha(config)#tftp-server access permit 192.168.100.1 (2)
1 受付ポートを2048に変更し、TFTPサーバーを再起動する
2 192.168.100.1からのみアクセスを許可する

5.4. SNMPサーバーに対するアクセス制限

SNMPサーバーに対するアクセス制限を実現します。
publicコミュニティへのアクセスを192.168.100.0/24からのクライアントのみに制限します。
加えて、privateコミュニティへのアクセスを192.168.100.1からのクライアントのみに制限します。

Yamaha(config)#snmp-server access permit 192.168.100.0/24 community public (1)
Yamaha(config)#snmp-server access permit 192.168.100.1 community private (2)
1 コミュニティ名publicでは192.168.100.0/24からのみアクセスを許可する
2 コミュニティ名privateでは192.168.100.1からのみアクセスを許可する

SNMPサーバーに対するアクセスを192.168.100.0/24から、かつユーザー名「user1」のクライアントのみに制限します。

Yamaha(config)#snmp-server access permit 192.168.100.0/24 user user1 (1)
1 192.168.100.0/24かつユーザー名user1からのみアクセスを許可する

6. 注意事項

IPv4/IPv6アドレスの設定を変更した場合、アクセス元IPアドレスの限定に関する設定がすべてリセットされます。
IPv4/IPv6アドレスの設定変更の際は十分にご注意ください。