古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 

FITELnet技術情報

SSHによるリモートメインテナンス機能について
2004年11月16日 初版
2010年03月29日 対応機器を追加
2012年07月05日 対応機器を追加
2014年12月01日 対応機器を追加

1.SSH、SCP機能について

Internet経由でルータのリモート保守を行う場合、TelnetやFTPによる操作では、やりとりしている情報が平文で流れることになるため、ログイン時のユーザ名やパスワード、あるいは設定情報などが漏洩する危険性があります。
こうした問題を解決するため、F100,F1000及びF100/F1000以降に発売された機器では、SSH(Secure SHell)およびSCP(Secure CoPy)機能をサポートしました。これにより、セキュアな通信でリモート保守を行うことが可能となりました。
SSH機能を利用することで、暗号化された通信によりTelnetと同様の操作を行うことができます。また、SCP機能を利用することで、SSHによるセキュアな通信を用いて、ファイル転送を行うことができます。これらの機能により、Internet経由でルータのリモート保守を行う場合でも、情報の漏洩を防止することができます。

 

以下のファームウェアからSSHおよびSCP機能をサポートしました。

対象機種 ファームウェア
FITELnet F60 V01.00(00)(初版) -
FITELnet-F80 V01.00(00)(初版) -
FITELnet-F100 V01.17(00) -
FITELnet-F140 V01.00(00)(初版) -
FITELnet F200 V01.00(00)(初版) -
FITELnet-F1000 V01.09(00) -
FITELnet F2000 V01.00(00)(初版) -
FITELnet F2200 V01.00(00)(初版) -

 

また、今回の機能追加では、ユーザ側のWebブラウザより、SSH、SCPを利用したリモート保守の許可に関する操作などを、簡単に行うことができるようになっています。

space

2.機能概要

space

2.1 想定している構成

SSH機能は、「Internet接続はできているが、IPsec通信ができない」といった問題が発生した場合に、オンサイトせずにセキュアな通信を使って、リモートメインテナンスを行うことで解決したい、といった場面でご利用いただける機能です。
tech14_1

図 2.1-1 SSH機能利用イメージ
space

2.2 操作

space

2.2.1 リモート保守画面

ユーザ側のWebブラウザより、SSH機能を利用したリモート保守に関する操作を行うことができます。
操作画面は以下のとおりです。

*Webブラウザによる操作はF100のみのサポートとなります。

 

tech14_2

図 2.2-1 リモート保守画面

 

 

各項目の意味は以下のとおりです。

「SSHサーバ動作状態」

SSHサーバの起動に関する操作を行います。
【起動】ボタンをクリックすることにより、SSHサーバが有効になります。


「SSHサーバホスト鍵の生成状態」

SSHサーバホスト鍵に関する操作を行います。
【生成】ボタンをクリックすることにより、SSHでホスト鍵として使用する秘密鍵、公開鍵のペアを生成します。


「SSH遠隔保守支援機能の動作状態」

SSH遠隔保守支援機能に関する操作を行います。
SSH遠隔保守支援機能を有効にすると、一定の時間だけ(Webブラウザによる操作では10分間)

・VPNセレクタをバイパス
・パケットフィルタリング(学習IP フィルタリングを含む)をバイパス
・SSHサーバアクセス制限機能(アクセスリストによる制限)をバイパス
・SSHサーバのリモートアクセス制限機能(不正アクセス防止機能)をバイパス

することができるようになり、SSHを利用して一時的にメインテナンスを行う上で障害となる各種機能を無効化します(SSHによるアクセスについてのみ適用されます)。
【有効化】ボタンをクリックすることにより、SSH遠隔保守支援機能が有効になります。


「インタフェース情報」

ルータのインタフェース情報を表示します。

space

2.2.2 コマンド仕様

コンソールから実行できる各コマンドの仕様は以下のとおりです。

<設定コマンド>

ssh-server enable
SSHサーバ機能を利用可能とします。

ssh-server access-group <1-99>
SSHサーバにアクセスを許可するSSHクライアントを、アクセスリストにより制限します。
本設定を行わない場合は、アクセス制限は適用されません。


ssh-server response-timeout <1-120>
SSHのネゴシエーションにおいて、SSHクライアントからの応答待ち時間(秒)を設定します。
本設定を行わない場合は、120秒でタイムアウトします。


ssh-server exec-timeout [off|<1-60>]
SSHサーバに接続した際の、無通信タイムアウトによる自動ログアウトを行うまでの時間(単位:分)を設定します。offを設定した場合、自動ログアウトは行いません。
本設定を行わない場合は、5分でログアウトします。


ip scp server enable
SSHにより確立された通信路を用いたSCPサーバ機能を利用可能とします。
*同時にssh-server enableが設定されている必要があります。

 

<操作コマンド>

generate key ssh
SSHでホスト鍵として使用する秘密鍵、公開鍵のペアを生成します。

clear crypto key ssh
SSHのホスト鍵を削除します。

 

remote-maintenance ssh [enable duration<1-30>|disable]
SSH遠隔保守支援機能の有効/無効に関する操作を行います。
装置起動時は無効となっています。
本コマンドでenableを指定した場合、duration<1-30>(単位:分)で指定された時間だけ有効となり、それを経過すると無効となります。時間指定を省略した場合は10分となります。
本コマンドは実行時点で更新されるため、無効状態に戻るまでの時間を延長することも短縮することも可能です。


 

space

3.SSH、SCPを利用したリモート保守

space

3.1 一時的にリモート保守を許可する場合

SSHを利用して、一時的にリモート保守を行うには次のようにします。

*手順1〜6までを、拠点側から実行する必要があります。

手順1 WebブラウザでF100にアクセスする
拠点のLAN側にある端末から、Webブラウザを使ってF100にアクセスします。

手順2 左フレームの「リモート保守」をクリックする(図2.2-1参照)
「リモート保守」をクリックすることにより、リモート保守の操作画面に移行します。

手順3 SSHサーバホスト鍵を生成する
「SSHサーバホスト鍵の生成状態」が「未生成」の場合は【鍵生成】ボタンを押します。
「生成済み」の場合は手順4に移行してください。

手順4 SSHサーバ機能を起動する
「SSHサーバ動作状態」が「未起動」の場合は、【起動】ボタンを押します。

手順5 SSH遠隔保守支援機能を有効にする
「SSH遠隔保守支援機能の動作状態」が「無効」の場合は、【有効化】ボタンを押します。
【有効化】ボタンをクリックすることにより、遠隔地からSSHサーバに接続する際に、妨げになるVPNセレクタ、パケットフィルタリングなどを回避してアクセスすることを可能にします。

手順6 保守員にIPアドレスを通知する
ブラウザ下方に表示されているインタフェース情報の中で、PPPoE1などのWAN側のIPアドレスをリモート保守を行う保守員に通知してください。

 

以上の手順により、SSHを利用したリモート保守が可能となります。SSH遠隔保守支援機能は、デフォルトでは10分間限定の機能です。必要に応じて、「remote-maintenance ssh」コマンドにより時間を延長して下さい。

 

space

3.2 リモート保守を常時許可する場合

SSH、SCPを利用したリモート保守を常時許可する場合、以下のような設定が必要となります。

[設定]

拠点側の192.168.2.0/24とセンター側の192.168.1.0/24のネットワークの間でIPsec通信していて、拠点側で常時リモート保守を許可するとします。

 

ssh-server enable
 SSHサーバ機能を有効にします。

ip scp server enable
 SCPサーバ機能を有効にします。

ipsec access-list 64 bypass ip any any
 bypassの設定をして、IPsec以外での通信を許可します。

access-list 100 permit tcp any any eq 22
 SSHクライアントから送信されるパケットを通す設定とします。

access-list 110 permit udp any eq 500 any eq 500
 IKEのネゴパケットは通す設定とします。
 *dynamicのフィルタを設定している場合、この設定は不要です。

access-list 120 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 センター側からの通信を通す設定とします。
 *ESPパケット(IPプロトコル番号50番)はフィルタリングの対象とはならず、
  復号化された後のパケットがフィルタリング対象となります。

access-list 190 deny ip any any
 上記以外の通信は廃棄するようにします。

interface pppoe 1
 PPPoE1インターフェースの設定モードへ移行します。

 ip access-group 100 in interface
 ip access-group 110 in interface
 ip access-group 120 in
 ip access-group 190 in
 access-listで設定したフィルタリングルールをPPPoE1インタフェースに
 入ってくるパケットに適用します。
 *interfaceオプションを付けることで、そのフィルタリングルールが適用される範囲を、
  インターフェース宛の通信に限定することができます。

exit
*あらかじめ「generate key ssh」コマンドにより、鍵ペアを作成しておく必要があります。
 
 
space

4.注意事項

本機能では、SSH/SCPクライアントとして以下の動作を確認しております。

SSHクライアント
OpenSSHに対応したOS(NetBSD,FreeBSD,Linux,Solarisなど)からのssh
Cygwin(Windows上で使用)からのssh
TTSSH(Tera Term+SSHv1)

SCPクライアント
OpenSSHに対応したOS(NetBSD,FreeBSD,Linux,Solarisなど)からのscp
Cygwin(Windows上で使用) からのscp

*CygwinをインストールしてSSHを利用する場合、パッケージの選択でAdminのカテゴリーから「cygrunsry」とNetのカテゴリーから「openssh」を選択してください。

*TTSSH 日本語版についてはこちら

*WinSCPは利用できません。

 

 

space

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007