Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

コンソール ポート アクセスのセキュリティ保護に関する設定ガイドライン

デバイスへの不正アクセスを防ぐために、ネットワーク管理者はコンソール ポートを無効にすることをお勧めします。

コンソール ポートの保護

デバイスのコンソール ポートを使用して、RJ-45 シリアル ケーブルでデバイスに接続できます。コンソール ポートから、CLI を使用してデバイスを設定できます。デフォルトでは、コンソール ポートは有効になっています。コンソール ポートを保護するために、デバイスは次のアクションを実行するように設定できます。

  • コンソール ポートに接続されているシリアル ケーブルを抜いたら、コンソール セッションからログアウトします。

  • コンソールへの root ログイン接続を無効にします。このアクションにより、非 root ユーザーがコンソールを使用してパスワード・リカバリー操作を実行できなくなります。

  • コンソール ポートを無効にします。デバイスへの不正アクセスを防ぐために、コンソール ポートを無効にすることを推奨します。デバイスが顧客宅内機器(CPE)として使用され、機密性の高いトラフィックを転送する場合、不正アクセスの防止は特に重要です。

    注:

    ソフトウェア アップグレードなどの操作中はコンソール アクセスが重要になるため、コンソール ポートを常に無効にできるとは限りません。

    警告:

    SRX300、SRX320、SRX340、SRX345デバイスでは、 set system ports console insecure オプションと set chassis routing-engine bios uninterrupt オプションの両方を設定した場合、Junos OSが起動しない場合に利用できる代替のリカバリ方法はありません。

コンソール ポートを保護するには、次の手順に従います。

  1. 次のいずれかの操作を行います。
    • コンソール ポートを無効にします。

    • コンソールへの root ログイン接続を無効にします。

      注:

      コンソールポートをinsecureとして設定した後に、ユーザーがシングルユーザーモードで起動してパスワードのリカバリー操作を実行しようとすると、デバイスはルートパスワードのプロンプトを表示します。これにより、root パスワードを知っているユーザーのみが、パスワード回復のためにシングルユーザーモードにログインできるようになります。

    • コンソール ポートに接続されているシリアル ケーブルを抜いたら、コンソール セッションからログアウトします。始める

    注:

    log-out-on-disconnectステートメントは、SRX1500、SRX4100、SRX4200、またはSRX4600デバイスでは動作しません。これらのデバイスでは、request system logoutコマンドを使用してコンソールから手動でログアウトする必要があります。

  2. デバイスの設定後、コンフィギュレーションモードでcommitを入力します。

セキュアなミニ USB ポート

SRX320、SRX320、SRX340、SRX345 デバイスには、ミニ USB タイプ B ポートがあります。CLI 管理用に、管理デバイスを Mini-USB Type-B コンソール ポートに接続できます。

SRXシリーズファイアウォールでミニUSBポートを無効にして、ユーザーがUSB大容量ストレージデバイスをサービスゲートウェイに接続できないようにすることができます。デバイスのミニ USB ポートを無効にすると、USB デバイスで進行中のトランザクションはすべて終了します。

次のコマンドを使用して、ミニ USB ポートを無効にします。

次のコマンドを使用して、ミニUSBポートを有効にします。

この操作により、無効になっているミニ USB ポートが再度有効になります。

show コマンドを使用して、mini-USB のステータスを確認します。

出力には、USB大容量ストレージデバイスの現在のステータスが表示され、USBポートが有効か無効かが示されます。