数か月前に新しいCiscoSG30010(Cisco SG300)ポートギガビットイーサネット(Gigabit Ethernet)マネージドスイッチを購入しました。これは、私の小規模なホームネットワークにとって最良の投資の1つです。Ciscoスイッチには非常に多くの機能とオプションがあるため、ネットワークをきめ細かく制御するように設定できます。セキュリティの面では、彼らの製品は際立っています。
そうは言っても、 Cisco(Cisco)スイッチが箱から出してすぐに安全でないことは非常に興味深いことです。プラグを差し込むと、DHCPサーバーからIPアドレスを取得するか、IPアドレス(通常は192.168.1.254)を割り当て、ユーザー名とパスワードにciscoを使用します。(cisco)うわぁ!
ほとんどのネットワークは192.168.1.xネットワークIDを使用するため、ネットワーク上の誰もがスイッチに完全にアクセスできます。この記事では、スイッチを接続した後、すぐに実行する必要のある5つの手順について説明します。これにより、デバイスが安全で適切に構成されていることが保証されます。
注:この記事は、シスコのスイッチを初めて使用するホームユーザーまたは小規模オフィスのユーザーを対象としています。シスコのエンジニアであれば、これらすべてが非常に単純であることに気付くでしょう。 (Note: This article is geared towards home or small office users who are new to Cisco switches. If you’re Cisco engineer, you’re going to find all of this very simplistic. )
ステップ1-デフォルトのユーザー名(Change Default Username)とパスワードを変更する(Password)
これは明らかに最初のステップであり、最も重要です。スイッチにログインしたら、[管理]を展開し、[(Administration)ユーザーアカウント(User Accounts)]をクリックします。
最初に行うことは、別のユーザーアカウントを追加して、元のciscoユーザーアカウントを削除できるようにすることです。新しいアカウントにフルアクセスを付与するようにしてください。これは、シスコの用語では読み取り(Make)/書き込み(Cisco)管理Read/Write Management Access (15)強力なパスワードを使用してから、 Cisco(cisco)アカウントからログアウトし、新しいアカウントを使用してログインします。これで、デフォルトのアカウントを削除できるようになります。
設定したパスワードを忘れた場合に備えて、パスワード回復サービス(Password Recovery Service)を有効にすることもお勧めします。パスワードをリセットするには、デバイスへのコンソールアクセスが必要です。
ステップ2–静的IPアドレスを割り当てる
デフォルトでは、スイッチにはすでに静的IPアドレスが設定されているはずですが、そうでない場合は手動で設定する必要があります。192.168.1ネットワークIDを使用していない場合にも必要になります。これを行うには、[管理(Administration)] – [管理インターフェイス](Management Interface) – [IPv4インターフェイス](IPv4 Interface)を展開します。
[ IPアドレスの種類]で(IP Address Type)[静的](Static)を選択し、静的IPアドレスを入力します。これにより、スイッチの管理もはるかに簡単になります。ネットワークのデフォルトゲートウェイがわかっている場合は、先に進んで、それを[ AdministrativeDefaultGateway]にも追加します。
また、IPアドレスが仮想LAN(LAN)インターフェースに割り当てられていることにも注意してください。つまり、上部で選択された管理VLAN( Management VLAN)にポートが割り当てられている限り、スイッチに接続されているポートに関係なく、IPアドレスを使用してデバイスにアクセスできます。。デフォルトでは、これはVLAN 1 であり、すべてのポートはデフォルトでVLAN1にあります。
ステップ3–ファームウェアを更新します
私の安価なNetgearルーターは、インターネット(Internet)でソフトウェアの更新をチェックし、それを自動的にダウンロードしてインストールできるので、豪華なCiscoスイッチでも同じことができると思います。しかし、あなたは間違っているでしょう!彼らがこれを行わないのはおそらくセキュリティ上の理由によるものですが、それでも厄介です。
Ciscoスイッチを新しいファームウェアで更新するには、 Cisco Webサイトからダウンロードしてから、スイッチにアップロードする必要があります。さらに、アクティブなイメージを新しいファームウェアバージョンに変更する必要があります。何かがうまくいかない場合に備えて少し保護を提供するので、私はこの機能が本当に好きです。
新しいファームウェアを見つけるには、最後にファームウェアという単語を付けてスイッチモデルをグーグルで検索します。(Google)たとえば、私の場合は、Google dCiscoSG300-10ファームウェアだけです。(Cisco SG300-10)
Ciscoルーターのファームウェアをアップグレードする方法については、その前に知っておくべきことがいくつかあるので、別の記事を作成します。
手順4–セキュアアクセスを構成する
私がお勧めする次のステップは、スイッチへの安全なアクセスのみを有効にすることです。コマンドラインプロの場合は、実際にはWeb GUIを完全に無効にし、 (GUI)SSHアクセスのみをオンにする必要があります。ただし、GUIインターフェースが必要な場合は、少なくともHTTPではなくHTTPSを使用するように設定する必要があります。(HTTPS)
スイッチのSSHアクセスを有効にする方法について(how to enable SSH access for your switch)の以前の投稿を確認してから、puTTYなどのツールを使用してログインしてください。さらにセキュリティを強化するために、SSHによる公開鍵認証をオンに(turn on public key authentication with SSH)し、秘密鍵を使用してログインすることができます。また、IPアドレスによって管理インターフェイスへのアクセスを制限することもできます。これについては、今後の投稿で説明します。
ステップ5–実行中の構成をスタートアップ構成に(Startup Config)コピーする(Copy Running Config)
Ciscoデバイスを使用するときに慣れたい最後のことは、実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーすることです。基本的に、行ったすべての変更は(Basically)RAMにのみ保存されます。つまり、デバイスを再起動すると、すべての設定が失われます。
構成を永続的に保存するには、実行中の構成をスタートアップ構成にコピーする必要があります。スタートアップ構成は、NVRAMまたは不揮発性RAMに保存されます。これを行うには、[管理]、[ファイル管理]の順に展開し、[(File Management)構成の(Administration) Copy/Save Configuration]をクリックします。
デフォルト設定は正しいはずなので、あなたがしなければならないのは適用(Apply)をクリックすることだけです。繰り返しになりますが、スイッチに何らかの変更を加えるときはいつでもこれを行うようにしてください。
これらは、スイッチを最初にセットアップして保護するための非常に基本的な構成手順です。スイッチの他の側面については、まもなくより高度なチュートリアルを投稿する予定です。ご不明な点がございましたら、お気軽にコメントください。楽しみ!
Five Things You Should Do After Plugging in Your New Cisco Switch
I purchased a new Cisco ЅG300 10-port Gigabit Ethernet managed switch a few months back and it’ѕ been one of the best inveѕtments for my small home network. Cisco switches have so many features and options thаt you can configure to granularly control your network. In terms of secυrity, their productѕ stand out.
With that said, it’s very interesting how unsecure a Cisco switch is fresh out of the box. When you plug it in, it either grabs an IP address from a DHCP server or assigns itself an IP address (usually 192.168.1.254) and uses cisco for the username and password. Yikes!
Since most networks use the 192.168.1.x network ID, your switch is completely accessible to anyone on the network. In this article, I’m going to talk about five immediate steps you should take after you plug in your switch. This will ensure your device is secure and configured properly.
Note: This article is geared towards home or small office users who are new to Cisco switches. If you’re Cisco engineer, you’re going to find all of this very simplistic.
Step 1 – Change Default Username & Password
This is obviously the first step and the most important. Once you log into the switch, expand Administration and then click on User Accounts.
The first thing you’ll want to do is add another user account so that you can then delete the original cisco user account. Make sure that you give the new account full access, which is Read/Write Management Access (15) in Cisco parlance. Use a strong password and then log out of the cisco account and login using your new account. You should now be able to remove the default account.
It’s also probably a good idea to enable the Password Recovery Service, just in case you forget the password you set. You’ll need console access to the device to reset the password.
Step 2 – Assign a Static IP Address
By default, the switch should have a static IP address already, but if not, you should manually set it. It’ll also be necessary if you’re not using the 192.168.1 network ID. To do this, expand Administration – Management Interface – IPv4 Interface.
Choose Static for IP Address Type and enter in a static IP address. This will make it much easier to manage your switch also. If you know the default gateway for your network, go ahead and add that in also under Administrative Default Gateway.
It’s also worth noting that the IP address is assigned to a virtual LAN interface, meaning you can access the device using the IP address regardless of which port is connected on the switch as long as those ports are assigned to the Management VLAN selected at the top. By default, this is VLAN 1 and all ports are by default in VLAN 1.
Step 3 – Update the Firmware
Since my cheap Netgear router can check the Internet for a software update and automatically download and install it, you would think a fancy Cisco switch could do the same. But you’d be wrong! It’s probably for security reasons why they don’t do this, but it’s still annoying.
To update a Cisco switch with new firmware, you have to download it from the Cisco website and then upload it to the switch. In addition, you then have to change the active image to the new firmware version. I really do like this feature as it provides a bit of protection in case something goes wrong.
To find the new firmware, just Google your switch model with the word firmware at the end. For example, in my case, I just Googled Cisco SG300-10 firmware.
I’ll be writing up another article on how to upgrade the firmware for a Cisco router as there are a couple of things you want to be aware of before doing so.
Step 4 – Configure Secure Access
The next step I recommend is enabling only secure access to your switch. If you are a command line pro, you really should disable the web GUI altogether and turn on SSH access only. However, if you need the GUI interface, you should at least set it to use HTTPS rather than HTTP.
Check out my previous post on how to enable SSH access for your switch and then login using a tool like puTTY. For even more security, you can turn on public key authentication with SSH and login using a private key. You can also restrict access to the management interface by IP address, which I will write about in a future post.
Step 5 – Copy Running Config to Startup Config
The last thing you want to get used to when using any Cisco device is copying the running config to the startup config. Basically, all the changes you make are only stored in RAM, which means when you reboot the device, all the settings will be lost.
In order to permanently save the configuration, you have to copy the running config to startup config, the latter of which is stored in NVRAM or non-volatile RAM. To do this, expand Administration, then File Management and then click on Copy/Save Configuration.
The default settings should be correct, so all you have to do is click on Apply. Again, make sure you do this anytime you make any kind of change to your switch.
Those were some really basic configuration steps for getting your switch initially setup and secured. I’ll be posting more advanced tutorials soon on other aspects of the switch. If you have any questions, feel free to comment. Enjoy!