Blog Brocade Japan

Fabric OSを使いこなそう! (2):スイッチへのアクセス制

by Tetsuya Tsuji on ‎10-30-2016 07:07 PM (701 Views)

ファイバーチャネル (FC)SANを構成するFCスイッチにおいても、適切なセキュリティ設定を行うことは非常に重要です。FCスイッチでは"インバンド"、つまりFCポートにおけるアクセス制御として、ファブリックに接続 (参加)するスイッチやデバイスに対するアクセス制御を行うことができます。それに加えて"アウトバンド"、つまりFCスイッチの「管理ポート」におけるアクセス制御を行うことも可能です。今回は、FCスイッチの管理アクセス設定についてご紹介しましょう。

 

Fabric OSベースのFCスイッチでは、「ルール」と「ポリシー」に基づいて管理アクセスを制御します。通信プロトコル毎にスイッチへのアクセスを許可/拒否するルールを定義し、ルールの集合体としてポリシーを定義します。ポリシーを有効にすることで、ポリシーに含まれるそれぞれのルールが有効になります。

 

Fabric OSベースでポリシーおよびルールを設定するには、"ipfilter"コマンドを使用します。

まず設定を確認するには、ipfiliterコマンドに"--show"オプションをつけて実行します。

 

 

switch:admin> ipfilter --show

 

デフォルトの状態では、"default_ipv4"および"default_ipv6"という事前定義のポリシーが有効になっています。このうち、"default_ipv4"の詳細は以下の通りです。

 

Name: default_ipv4, Type: ipv4, State: active

Rule Source IP Protocol   Dest Port   Action

1     any                                            tcp       22     permit

2     any                                            tcp       23     permit

3     any                                            tcp       80     permit

4     any                                            tcp      443     permit

5     any                                            udp      161     permit

6     any                                            udp      123     permit

7     any                                            tcp      600 - 1023     permit

8     any                                            udp      600 - 1023     permit

 

ポリシーに含まれる各ルールには、番号が振られています。このポリシーが適用されている (=Stateが"active"になっている)ことにより、デフォルトでssh (22/tcp)、telnet (23/tcp)、http (80/tcp)、https (443/tcp)、SNMP (161/udp)、NTP (123/udp)のプロトコルでスイッチにアクセスできる状態になっています。

 

default_ipv4とdefault_ipv6は変更することはできませんが、複製 (クローン)を作成することは可能です。

そこで、ユーザー定義のカスタムポリシーおよびルールを構成するために、以下のコマンドでdefault_ipv4の複製となるポリシーを"test"という名前で作成します。

 

switch:admin> ipfilter --clone test -from default_ipv4

 

ここで作成したポリシー"test"はdefault_ipv4の複数ですから、この段階で含まれるルールは、上記のdefault_ipv4と同一です。

 

次に、testポリシーの2番目のルールを以下のコマンドで削除します。

2番目のルールは23/tcp、つまりtelnetを許可 (permit)しているエントリですから、このルールを削除することは「スイッチへのtelnetアクセスを禁止する」という設定を行っていることになります。

 

switch:admin> ipfilter --delrule test -rule 2

 

最後に、以下のコマンドでルールを変更したポリシー"test"を適用します。

変更されたポリシーが適用された後は、スイッチにtelnetでアクセスすることはできなくなります。

 

switch:admin> ipfilter --activate test

 

今回ご紹介した"ipfilter"は、先日実施したWebセミナー「“見てわかる” ファイバーチャネルSAN基礎講座(第4弾)~続・間違わない!FC SAN導入のヒントとコツ~」でもご紹介しています。是非こちらもご覧ください。