Juniper Networks SSG Series ナレッジベース Part1

1SSGシリーズに付属しているUSBポートはなにに使用するのですか?
最終更新日 : 2007-09-17
初版 : 2007-09-17
ver : 1.0.0
SSGファミリの場合、USB ポートにUSBフラッシュメモリを装着することによって、次の操作を行うことができます。
ScreenOSイメージの保存および転送
設定情報 (config / 証明書) の保存および転送
イベントログやトラフィックログの保存 (ScreenOS 6.0でサポート)
Core Dumpログの保存 (ScreenOS 6.0でサポート)

使用方法
SSG本体のUSBポートにUSBフラッシュメモリを接続すると、次のようなメッセージがイベントログに出力されます。

system-emergency-00093: , , addr 2 attach success

また、USBデバイスが使用可能になったことは、コンソールの次のようなメッセージ出力で確認することができます。
Mount usb device. Please wait…
usb device (usb) ready.

接続したUSBフラッシュメモリを取りはずす場合には、次のCLIコマンドを実行してから取りはずしてください。実行せずに取りはずすと、メモリに保存したファイルが壊れる場合があります。

-> exec usb-device stop [Enter]

USBフラッシュメモリを取りはずすことができる状態になると、コンソールに次のメッセージが出力されます。

The “USB Mass Storage Device”can now be safely removed from system

USBフラッシュメモリを取りはずしたときに、イベントログに次のメッセージが出力されます。

system-emergency-00093: usb detach success

WebUIのReports > Chassisを参照するか、または次のCLIコマンドを入力することで、接続されている機器の容量を確認することができます。

-> get chassis status [Enter]
USB: Inserted
Total Size: x,xxx,xxx,xxx bytes
Free Size: x,xxx,xxx,xxx bytes

ログをUSBデバイスに保存する場合、次のCLIコマンドを実行します。

-> set log usb enable [Enter]

イベントログとトラフィックログは、同じファイル名で保存されます。このファイル名は任意に変更することができず、次の書式で保存されます。

__log.txt
ファイル名に含まれるは、システムが最後に起動した日時です。たとえばホスト名がjscomで、起動日時が2007-08-13の場合には、ファイル名「jscom_13Aug2007_log.txt」としてログが保存されます。
そのほかの使用例については、以下を参照してください。

(例1) SSGのフラッシュにある設定コンフィグをUSBメモリに保存 -> save config from flash to usb [Enter]
(例2) USBメモリにあるScreenOSイメージを利用してアップデートを実行 -> save software from usb to flash [Enter]
(例3) USBメモリに保存されているファイルを削除 -> delete file usb:/ [Enter]


制限事項ならびに注意事項 USB 2.0またはUSB 1.1準拠製品をご利用ください。
保存するデータの信頼性を保つため、ご利用されるUSBフラッシュメモリについては、メーカサポートが受けられる製品を選定ください。
FAT 16 / FAT 32のファイルシステムに対応しており、正式にサポートされているフラッシュメモリの最大容量は、1 GBです。
2ScreenOS 5.4から新たにTraffic Logメッセージの末尾につけ加えられたReasonフィールドとはなんですか?
ScreenOS 5.4から新たにTraffic Logメッセージの末尾につけ加えられたReasonフィールドとはなんですか?

最終更新日 : 2007-09-17
初版 : 2007-09-17
ver : 1.0.0

Reasonフィールドはセッションの意味を示しています。 出力されるメッセージの意味は次のとおりです。

Creation セッションが生成されたことを示します
Close セッションがクローズしたことを示します
Traffic Denied ポリシーによってセッションが破棄されたことを示します。


※Creation は、ポリシーのSession Beginningオプションを有効にしている場合のみ出力されます。
Closeの場合には、その理由を示すメッセージも出力されます。そのメッセージの意味は次のとおりです。

Close – TCP FIN TCP FINパケットによってTCP接続が終了
Close – TCP RST セッションがクローズしたことを示します。
Close – RESP PINGやDNSなどの特殊なセッションの応答受信でクローズ
Close – ICMP ICMPエラーを受信
Close – AGE OUT 正常に接続がタイムアウト
Close – ALG ALG (Application Layer Gateway) で強制的にクローズ
Close – NSRP NSRPのsession closeメッセージを受信
Close – AUTH 認証の失敗によってクローズ
Close – IDP IDPによってクローズ
Close – SYN PROXY FAIL SYN PROXYの不具合によってクローズ
Close – SYN PROXY LIMIT SYN PROXYセッションの上限に達したことでクローズ
Close – TENT2NORM CONV 正常なセッションの交換における一時的な不具合でクローズ
Close – PARENT CLOSED 「親」のクローズによってクローズ
Close – CLI ユーザのCLIコマンドでクローズ
Close – OTHER そのほかの理由

※Traffic DeniedはWebUIでログを参照する場合には表示されますが、syslogに出力させた場合には出力されません。
3FTP通信を許可させるにはどうしたらよいですか?
最終更新日 : 2007-02-26
初版 : 2007-02-26
ver : 1.0.0

FTPポートで使用する宛先ポートはコントロールセッションであるTCPポート21と アプリケーションで使用される1,024以上の任意のポートが使用されます。

ScreenOSの定義ずみFTPサービスオブジェクトを使用すれば、FTPのコントロールセッションで決められたデータポートを解析し、自動的にデータポートを開放する仕様になっているため、データポートを明示的に指定することなくFTPサービスを許可することができます。

ポートモード(アクティブモード)

コントロールコネクション
FTPクライアントからFTPサーバに対して任意のポートから宛先ポート21へ接続

FTPクライアント————–>FTPサーバ
任意のポート ポート21

データコネクション
FTPサーバからFTPクライアントに対して送信元ポート20からコントロールコネクションのPORTコマンドで指定された宛先ポートへ接続

FTPクライアント<————– FTPサーバ
1024以上 ポート20

※ScreenOSでは、定義ずみFTPサービスオブジェクトを使用すればPORTコマンドで指定された宛先ポートを自動的に開放し、データ通信が終了すると閉じます。

パッシブモード

コントロールコネクション
FTPクライアントからFTPサーバに対して任意のポートから宛先ポート21へ接続

FTPクライアント ————–>FTPサーバ
任意のポート ポート21

データコネクション
FTPクライアントからFTPサーバに対して任意のポートからサーバが指定した1,024以上の宛先ポートへ接続

FTPクライアント ————–>FTPサーバ
任意のポート 1024以上

※ScreenOSでは、定義ずみFTPサービスオブジェクトを使用すれば、サーバが指定した宛先ポートを自動的に開放し、データ通信が終了すると閉じます。

参考:http://kb.juniper.net/KB5673
4ScreenOSにて透過モードとルートモードを同時に使用することはできますか?
最終更新日 : 2007-02-20
初版 : 2007-02-20
ver : 1.0.0

いいえ。透過モードとルートモードを同時に使用することはできません。

実際には稼動させる設定を投入することが可能な場合がありますが この動作は正式にサポートしていませんのでご注意ください。
5NetScreenは、SNMPv2cの64bit countersに対応していますか?
最終更新日 : 2006-01-16
初版 : 2006-01-16
ver : 1.0.0

ScreenOSのSNMPで得ることができるインタフェースごとの送受信オクテット数と送受信バイト数のカウンタは32bitでしたが、ScreenOS 5.3からSNMPv2cの64bit countersに対応しました。

ただし、64bit countersを含むRFC 2863 The Interface Group MIBのすべてに対応しているのではなく、64bit countersだけが実装されていることに注意してください。

ScreenOS 5.3で実装された64bit countersの情報は、次のとおりです。

IF-MIB::ifHCInOctets (.1.3.6.1.2.1.31.1.1.1.6)
IF-MIB::ifHCInUcastPkts (.1.3.6.1.2.1.31.1.1.1.7)
IF-MIB::ifHCInMulticastPkts (.1.3.6.1.2.1.31.1.1.1.8)
IF-MIB::ifHCInBroadcastPkts (.1.3.6.1.2.1.31.1.1.1.9)
IF-MIB::ifHCOutOctets (.1.3.6.1.2.1.31.1.1.1.10)
IF-MIB::ifHCOutUcastPkts (.1.3.6.1.2.1.31.1.1.1.11)
IF-MIB::ifHCOutMulticastPkts (.1.3.6.1.2.1.31.1.1.1.12)
IF-MIB::ifHCOutBroadcastPkts (.1.3.6.1.2.1.31.1.1.1.13)

ご参考: http://kb.juniper.net/KB7812
6NetScreen (NetScreen-Remoteを含む) のVPN接続で使用するプロトコルとポート番号は?
最終更新日 : 2006-11-28
初版 : 2006-11-28
ver : 1.0.0

NetScreenでVPNの通信を行うときに、次のプロトコルとポート番号が使用されます。

Manual Key によるVPNを利用している場合
IPプロトコル番号50 (ESP)

IPsec IKEによるVPNを利用している場合
UDPポート500
IPプロトコル50 (ESP)

L2TP over IPsecを利用している場合
UDPポート1701
UDPポート500
IPプロトコル50 (ESP)

また、ScreenOS 5.1以降では、NAT-T (NAT Traversal) の実装がDraft-02に変更されているため、NAT-Tを利用する場合にUDP port 4500番を使います。

一般的なAutoKey IKEのIPsecによるVPNの場合、IPプロトコル 50 (ESP) とUDPポート500番 (NAT-Tを使用時は4500番も) が経路上で許可されていれば、特に問題はありません。

ご参考 :
http://kb.juniper.net/KB4044
http://kb.juniper.net/KB7813
http://kb.juniper.net/KB8119
http://kb.juniper.net/KB8120
7NetScreenでddo.jpのサブドメインDDNS無料サービスを利用していますが、2006年1月から自動更新ができなくなりました。
最終更新日 : 2006-08-30
初版 : 2006-08-30
ver : 1.0.0

これは、ddo.jpでIP更新方法の変更が実施されたことによるものです。NetScreenのDDNS設定でDDNSリクエスト先サーバの設定を変更することで自動更新が再開されます。

WebUIのメニューからNetwork > DNS > DDNSを選択して、定義されているDDNS設定のEditのリンクからEntry Configuration画面を開いてください。この画面のServer Nameの欄をddo.jpからfree.ddo.jpに変更します。

参考 : http://ddo.jp/docs.php?docno=000016
8NetScreenの起動時に “Ignore image authentication!” というメッセージが出力されるのはなぜですか?
最終更新日 : 2006-08-30
初版 : 2006-08-23
ver : 1.0.1

NetScreenは、起動時ScreenOSがシステムにロードされるときに、 ロードされたScreenOSイメージが正規のものかどうかをセルフチェックします。このチェックは、米国の連邦情報処理規格 (FIPS) の要求によるものです。
NetScreen自体にJuniper社の証明書 (imagekey.cer) がない場合は、起動のたびに “Ignore image authentication!” のメッセージが出力されます。これは、BootROMが、このチェックを無視するために出力されるもので、NetScreenのあらゆる動作や機能に影響するものではありません。

NetScreenにJuniper社の証明書 (imagekey.cer) をロードすると、チェックが実行されて、起動時の出力は “Image authenticated!” というメッセージに変わります。証明書 (imagekey.cer) は、以下のURIにアクセスすることで、ダウンロードすることができます。

http://www.juniper.net/techpubs/software/screenos/mibs.html

証明書 (imagekey.cer) をNetScreenにロードする方法は、WebUIとCLIのいずれからも可能です。

WebUIからロードする場合は、画面左のメニューからConfiguration > Update > ScreenOS/Keysを選択してください。画面の中のImage/IDP Signature Key Updateのラジオボタンを選択して、Load Fileにダウンロードしたアーカイブファイルを解凍して得られるimagekey.cerを指定して、Applyボタンをクリックしてください。証明書がロードされると、”The image key was updated sucessfully.” というメッセージが表示されます。

CLIからロードする場合には、TFTPサーバを用いる必要があります。TFTPサーバを用意して、CLIで次のコマンドを実行してください。

save image-key tftp imagekey.cer [Enter]

参考 :
http://kb.juniper.net/KB5493
http://kb.juniper.net/KB8161
9WebUIからNetScreenを再起動することはできますか?
最終更新日 : 2006-06-19
初版 : 2006-06-19
ver : 1.0.0

ScreenOS 5.0以降のバージョンで実行することができます。
WebUIのConfiguration > Update > ScreenOS/Keys画面にあるResetボタンをクリックすると、NetScreenが再起動します。
10NetScreenに設定したDynamicDNSが正しく更新されることをテストしたいのですが、更新を手動で実行することはできますか?
最終更新日 : 2006-06-14
初版 : 2006-06-14
ver : 1.0.0

WebUIからScreenOSのアップデートを実施した場合に、次のようなエラーメッセージが出力され、正常にバージョンアップを完了することができません。

The device does not have enough memory for the operation.
please try another time.

NetScreenの残りメモリが少ないことが原因で、WebUIからScreenOSのアップデートを行った場合、正常に完了することができない場合があります。
対処方法としては、一度NetScreenを再起動した後に、あらためてWebUIからScreenOSのアップデート作業を試してください。または、CLIでTFTPを用いてアップデート作業を実施してください。
11WebUIからScreenOSのアップデートを実施した場合にエラーメッセージが出力され、正常に完了することができません。
最終更新日 : 2006-06-14
初版 : 2006-06-14
ver : 1.0.0

WebUIからScreenOSのアップデートを実施した場合に、次のようなエラーメッセージが出力され、正常にバージョンアップを完了することができません。


The device does not have enough memory for the operation.
please try another time.

NetScreenの残りメモリが少ないことが原因で、WebUIからScreenOSのアップデートを行った場合、正常に完了することができない場合があります。対処方法としては、一度NetScreenを再起動した後に、あらためてWebUIからScreenOSのアップデート作業を試してください。または、CLIでTFTPを用いてアップデート作業を実施してください。
12複数のScreenOSイメージをFlashメモリに保存する方法、 起動する時に任意のScreenOSを選択する方法は?
最終更新日 : 2006-05-16
初版 : 2006-05-16
ver : 1.0.0

複数のScreenOSイメージをFlashメモリ上に保持して、それを起動することができるMultiple Firmwareは、ScreenOS 5.1以降でサポートされた機能です。

対応デバイス : NetScreen-5GT、NetScreen-500、ISG 2000、NetScreen-5200、NetScreen-5400


別のScreenOSをFlashメモリに保存する方法

デフォルトで起動するScreenOSとは、別のバージョンのイメージをFlashメモリに保存するには、以下の手順を実行してください。
コンソールケーブルをコンピュータとNetScreenに接続してください。コンピュータとNetScreenは、Ethernetケーブルも接続して、通信ができるようにIPアドレスを設定してください。
コンピュータでターミナルソフトウエアとTFTPサーバを起動してください。TFTPサーバのディレクトリは、ScreenOSイメージファイルが保存されているディレクトリに設定してください。
NetScreenの電源を投入してください。
起動メッセージの中で以下のように表示されます。

Hit any key to run loader

この文字列が表示されたタインミグで、任意のキーをタイプしてください。
新しく保存したいScreenOSのイメージファイル名を入力して、Enterキーをタイプします。

Boot File Name []: ns5gt.5.3.0r2.0 [ENTER]

!!注意!! ファイル名ns5gt.5.3.0r2.0は例です。TFTP上のファイル名を指定してください。

NetScreen 自体に定義した IP アドレスを入力して、Enter キーをタイプします。
Self IP Address []: 192.168.0.1 [ENTER]

!!注意!! IPアドレス192.168.0.1は例です。NetScreen本体のIPアドレスを指定してください。

続いて以下が表示されます。

TFTP IP Address []: 192.168.0.10 [ENTER]

!!注意!! IPアドレス192.168.0.10は例です。TFTPサーバのIPアドレスを指定してください。

TFTPサーバのIPアドレスを入力して、Enterキーをタイプします。

ダウンロードが開始されると、以下のように文字列が画面に出力されるので、そのまま待機してください。

「atatatata・・・」

ダウンロードに成功すると、次のメッセージが表示されます。

Loaded Successfully! (size = 5,426,958 bytes)
Ignore image authentication!

続いて以下のように画面に表示されますので、ここでmをタイプしてください。

Save to on-board flash disk? (y/[n]/m) m [ENTER]

もし、yをタイプすると、デフォルトのイメージが上書きされてしまいます。
nをタイプすると、イメージファイルは保存されません。

flash上に保存するときのファイル名を入力して、Enterキーをタイプしてください。

Please input multiple system image file name []: xxxxxxxx.zzz [ENTER]

!!注意!! ファイル名は、DOS8.3互換 (ファイル名8文字・拡張子3文字) にする必要があります。

xxxxxxxx.zzzに任意のファイル名を指定してください。

以下が出力されます。

Run downloaded system image? ([y]/n)

ダウンロードしたScreenOSを起動させる場合は、yを選択してください。
nを選択すると、デフォルトのScreenOS (flash:/$NSBOOT$.bin) が起動されます。

任意のScreenOSを指定して起動する方法Flash内に保存した複数のScreenOSイメージのうち、任意のファイルで起動するには、以下の手順を実行してください。
コンソールケーブルをコンピュータとNetScreenに接続します。
コンピュータでターミナルソフトウエアを起動します。
NetScreenの電源を投入してください。
起動メッセージ中に以下の文字列が表示されたタイミングで、任意のキーをタイプしてください。

Hit any key to run loader

以下のように表示されます。

Boot File Name []:

起動するScreenOSのイメージファイル名を入力して、Enterキーをタイプすると、そのファイルで起動します。 たとえば、flashに保存したns5gt.5.3.0r2.0というイメージを起動する場合には、次のようにファイル名を入力します。

Boot File Name []:flash:/ns5gt.5.3.0r2.0 [ENTER]

注意モデルによってget fileコマンドでデフォルト以外のイメージファイルを参照することができないものがあります。このような場合には、debug file allを実行させてから、get fileコマンドを実行してください。
get dbuf stコマンドでdebug出力を確認するとファイル名を参照することができます。
NetScreen-5GTは、デフォルトの$NSBOOT$.binを含め、最大3個のイメージファイルを保存することができます。NetScreen-5000およびISG 2000は、flashメモリサイズで制限されます。
NetScreen-5000でこの機能を使用するためには、第2世代マネジメントモジュール (MGT2) が必要です。
デフォルトのflash:/$NSBOOT$.bin以外のイメージで起動している場合に、ScreenOSのアップデートを実行すると、デフォルトの$NSBOOT$.binが変更されます。
参考 : http://kb.juniper.net/KB7412
13ScreenOS 5.3以降のNetScreen-5GTで802.1q VLANタグに対応していますが、利用するうえで制限はありますか?
最終更新日 : 2006-04-17
初版 : 2006-04-17
ver : 1.0.0

NetScreen-5GTのポートモードは、Trust-Untrustモードのみが対応しています。そのほかのポートモードでも設定することはできますが、VLAN IDを認識することができないため、機能しません。

また、VLANタグつきサブインタフェースは、最大10まで定義することができます。
14ScreenOS 5.3のIKE Gateway設定オプションにあるDPDとは?
最終更新日 : 2006-03-03
初版 : 2006-03-03
ver : 1.0.0

Dead-Peer Detection (DPD) は、ScreenOS 5.3で新たに実装された機能で、RFC 3706
(http://www.ietf.org/rfc/rfc3706.txt) に基づくものです。

DPDを有効にすると、IKE Phase1のNotification Payloadを用いて、対向のVPNデバイスにHELLO (R-U-THERE) を送信します。送信したあとは、対向からのACK (R-U-THERE-ACK) を待機して、その受信の有無によって、対向SAの状態を判定します。

ACK (R-U-THERE-ACK) の応答が受信された場合には、対向のSAが有効なものと判定され、SAが維持されます。指定されたインターバルが経過しても応答がなかった場合には、対向のSAを無効と判定し、Phase1とPhase2のSAを破棄します。
15“SIP Parser Error Message: Cannot Find CRLF” というエラーメッセージが出力されSIP通信を正常に行うことができません。
最終更新日 : 2006-02-17
初版 : 2006-02-17
ver : 1.0.0

NetScreenでパケットがドロップされているのが原因です。ログを確認すると “SIP Parser Error Message: Cannot Find CRLF” のメッセージが出力されています。次のような構成で、NetScreenを経由してSIP PhoneとSIP Gatewayの通信を行う場合に、SIP Phoneから SIP Gatewayへの通信は行えますが、SIP Gatewayからの応答パケットがドロップされます。


—構成図————————————————————-

[Internet]———[NetScreen]———[SIP Gateway]

└————–[SIP Phone]

———————————————————————-

これを回避するためには、ポリシーの設定画面で、ServiceをSIPに設定してから、ApplicationオプションをIGNOREに設定してください。

このようにポリシーを設定した後であっても、不具合が発生する場合がありますので、ポリシー設定後は、SIP Phoneのセッションを一旦クローズしてから再接続を実行してください。

参考 : http://kb.juniper.net/KB4812
16NetScreenのARPキャッシュの保持時間は? そのデフォルト値を変更することはできますか?
最終更新日 : 2006-01-19
初版 : 2006-01-19
ver : 1.0.0

NetScreenは、IPアドレスとMACアドレスとのマッピング情報を保持するARPテーブルを持っています。このテーブルのエントリがキャッシュされている時間のデフォルト値は20分 (1,200秒)です。

保持されているARPテーブル情報は、CLIコマンドで確認することができます。


ns5xt-> get arp [Enter]
usage: 2/1024 miss: 0
always-on-dest: disabled
————————————————————————————–
IP Mac VR/Interface State Age Retry PakQue Sess_cnt
————————————————————————————–
xx.xx.xx.xx 001122334455 trust-vr/untrust VLD 1199 0 0 0
yy.yy.yy.yy 000811223344 trust-vr/untrust VLD 1200 0 0 0

ARPテーブルのキャッシュ保持時間は、CLIコマンドで任意の値に変更することができます。設定値は秒単位で定義することができ、設定可能な値の範囲は、1 − 65,535秒です。


ns5xt-> set arp age [Enter]

たとえば、ARPキャッシュの保持時間を1,200秒から600秒に変更する場合は、次のようにCLIコマンドを入力してください。


ns5xt-> set arp age 600 [Enter]
参考 : http://kb.juniper.net/KB6771
17NetScreen-5GTをScreenOS 4.0.0-DIALからScreenOS 5.xにアップグレードするときにエラーが出て失敗する。
最終更新日 : 2006-01-05
初版 : 2006-01-05
ver : 1.0.0

NetScreen-5GTの ScreenOS 4.0.0-DIALからScreenOS 5.xにアップグレードすると、次のようなエラーメッセージが表示される場合があります。

juniper_img_0060





ScreenOS 4.0.0-DIAL2.r8よりも古い4.0.0-DIALファームウエアから、ScreenOS 5.x系へのアップグレードを実行した場合に発生する問題です。

このような場合には、先にScreenOS 4.0.0-DIAL2.r8にアップグレードしたうえでScreenOS 5.xにアップグレードすることで、エラーを回避することができます。
18NetScreenのアカウント管理にLDAPを利用したいのですが、LDAPサーバの識別名 (DN) を参照することができません。
最終更新日 : 2006-01-05
初版 : 2006-01-05
ver : 1.0.0

ScreenOSでは、LDAPサーバにリクエストを送信するときにLDAP version 2を利用します。そのため、LDAPサーバは、LDAP version 2に対応している必要があります。

OpenLDAP系のLDAPサーバは、デフォルトでLDAP version 3を利用します。対処策として、slapd.confに「allow bind_v2」の定義を追記することで、LDAP version 2のリクエストに応答させることができるようになります。

参考 : http://kb.juniper.net/KB6932
19NetScreenの設定ファイルをSCPでバックアップすることはできますか?
最終更新日 : 2006-01-06
初版 : 2006-01-06
ver : 1.0.0

可能です。ただし、ScreenOS 5.0以降である必要があります。NetScreenのFlashメモリに保存されている設定ファイルは、CLIコマンドで確認することができます。


ns5xt-> get file [Enter]
flash:/envar.rec 75
flash:/golerd.rec 0
flash:/dhcpserv.txt 0
flash:/dnstb.rec 1
flash:/ns_sys_config 4137 <—- 設定ファイル
flash:/$lkg$.cfg 1367
flash:/attacks.sig 147324
flash:/dhcpservl.txt 52
flash:/license.key 361
flash:/expire.rec 23
ns5xt->

SCPを用いてバックアップファイルを取得するためには、まずNetScreenでSSHとSCPを有効にしてください。SCPの設定についての詳細は、こちらのKBを参照してください。

NetScreenに公開鍵を登録してSCPで設定ファイルをバックアップする例を以下に示します。例示する環境は、NetScreen-5XT (ScreenOS 5.3.0r2.0) とDebian 2.4.18-bf2.4+OpenSSH_3.4p1です。

まず、設定ファイルを保存するホストでDSA鍵を生成します。ここでは、パスフレーズなしにしています。


admin@debian:~/.ssh$ ssh-keygen -t dsa [Enter]
Generating public/private dsa key pair.
Enter file in which to save the key (/home/admin/.ssh/id_dsa): [Enter]
Enter passphrase (empty for no passphrase): [Enter]
Enter same passphrase again: [Enter]
Your identification has been saved in /home/admin/.ssh/id_dsa.
Your public key has been saved in /home/admin/.ssh/id_dsa.pub.
The key fingerprint is:
fd:9d:39:9e:52:62:fd:bc:33:bf:91:ce:f8:67:dd:5e admin@debian
admin@debian:~/.ssh$

次に生成された公開鍵id_dsa.pubをNetScreenに登録してください。SSH公開鍵登録方法の詳細については、こちらのKBを参照してください。

これでパスワード入力なしでセキュアなSSHログインを行うことができます。ただし、秘密鍵の管理は厳重にする必要があることは言うまでもありません。


admin@debian:~$ ssh -l netscreen 192.168.10.10 [Enter]
The authenticity of host ’192.168.10.10 (192.168.10.10)’ can’t be established.
DSA key fingerprint is 0b:1a:e5:9d:9e:44:9b:5c:7a:14:6f:d8:14:80:b1:4a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ’192.168.10.10′ (DSA) to the list of known hosts.
Remote Management Console
netscreen-> exitConnection to 192.168.10.10 closed.

同様にSCPでNetScreenの設定ファイルを容易にバックアップすることができます。


admin@debian:~$ scp netscreen@192.168.10.10:ns_sys_config ./config_backup [Enter]
ns_sys_config 100% |***********************************| 17438 00:00
admin@debian:~$
20NetScreenにSSHの公開鍵を登録する方法は?
最終更新日 : 2006-01-06
初版 : 2006-01-06
ver : 1.0.0

ScreenOS 5.0以降のバージョンでは、SSHv2がサポートされています。SSHv2を使用する場合には、DSAの公開鍵と秘密鍵が必要になります。
※ 従来のSCS (SSHv1) を使用する場合には、RSA鍵が必要です。

SSHv2を有効にしたNetScreenにDSA公開鍵を登録することで、公開鍵認証によるSSH管理アクセスやSCPが利用できるようになります。
まず、NetScreenでSSHv2を有効にしてください。

WebUIの場合には、メニューからConfiguration > Admin > Managementを選択して、Enable SSH (V2)をチェックして有効にします。

CLIでSSHv2を有効にする場合の手順例は、次のとおりです。


ns5xt-> delete ssh device all [Enter]
.
SSH disabled for vsys: 0

PKA keys deleted from device: 0
.
Host keys deleted from device: 1
Execute the ‘set ssh version v1′ command to activate SSH v1 for the device.
ns5xt-> set ssh version v2 [Enter]
SSH version 2 has been activated.
Execute the ‘set ssh enable’ command to enable SSH for a vsys.
ns5xt-> set ssh enable [Enter]

次にDSA鍵を生成する場合のサンプルを示します。環境は、FreeBSD 5.4-RELEASE+OpenSSH_3.8.1p1です。


bsd% pwd
/home/admin
bsd% ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/admin/.ssh/id_dsa): [Enter]
Enter passphrase (empty for no passphrase): [Enter]
Enter same passphrase again: [Enter]
Your identification has been saved in /home/admin/.ssh/id_dsa.
Your public key has been saved in /home/admin/.ssh/id_dsa.pub.
The key fingerprint is:
2f:84:d2:a0:38:f4:85:46:6d:66:1c:ba:4d:c2:0f:28 admin@bsd.localhost
bsd% ls .ssh/
id_dsa.pub id_dsa

[注意!!]
passphraseを空に設定すると、このホストのこのユーザは、NetScreenにパスワード入力なしで接続が許可されてしまいます。

この手順で生成された id_dsa.pubが公開鍵で id_dsaが秘密鍵です。OpenSSHの公開鍵ファイルは、次のような内容になっています。


bsd% cat ~/.ssh/id_dsa.pub [Enter]
ssh-dss AAAAB3NzaC1kc3MAAACBANI64Ny9Y4DxRVBvP5VAx22c5DGwq0gYc48u0iuc
VthvHIxd5G+92gvN9vQlH5zGRa+tJdSGL177S4ypHGW2DDF2K6GwVxReqiaFJ0OoC99r
JMUU4meruAY38rBkoY/cyGSpqFgAlCCymf65KrRhR+XnoMhibmi8EFSgw+4rn4hrAAAA
FQCXkY/HW8HBsprBLJfNe3lOY314JQAAAIEAmFufb06Q8y8CYAnpGUm6LyYFAsxtmry1
fs0pI80oruRQe4+/jLsVQiOI5+qZff+F1DSsqJF4/94fhyWXmQd32UkVuXun03QreNPG
10qkM025wRVhJa078jP2+nLZre8WsptrnbGLrxy2eiZbBTgjguOO7hNZ4RwxcaUsomuF
14YAAACBAMEqVUHJ0TKzWNq5O7S15klCmMtaa1Ue+9MJobWX1zBEGKLFS0UqjoZs/H0m
I7UV/pMcuyRqvAililrDDFlxlLdXxUtExX2EaEy+rKbdhHhPv6zfU5GeFRbh0M+js4Qh
DjiT/NJj+63EAJTpDI2M+CiJLlUG1KsBavXJL4+rbfnP admin@bsd.localhost

NetScreenにDSA公開鍵を登録するには、WebUIで登録する方法と、CLIからtftpを用いて登録する方法があります。

WebUIで登録する場合には、公開鍵ファイルの中のkey type (上記例中の “ssh-dss” の部分) と comment (上記例中の“admin@bsd.localhost” の部分) を除いたencode keyだけを
登録画面のテキストボックスにコピーします。

CLIで登録する場合には、生成した公開鍵ファイルそのものをtftpでロードします。この時にNetScreenのRoot権限ユーザに公開鍵を登録する場合は、ユーザ名の指定が必要になります。
WebUIによるSSH公開鍵登録手順メニューからConfiguration > Admin > Administratorsを選択します。


Local Administrator Databaseリストから公開鍵認証を行なうユーザのConfigure > SSH PKAを選択します。


表示された公開鍵設定画面のテキストボックスに公開鍵のEncode Keyをペーストして、Addボタンをクリックします。


DSA公開鍵の登録が完了して、登録ずみ公開鍵のリストに表示されます。


CLI によるSSH公開鍵登録手順DSA鍵を生成したホストでTFTPサーバを起動させてください。
NetScreenのCLIにログインしてください。
次のようにコマンドを実行して、DSA公開鍵をロードしてください。

ns5xt-> exec ssh tftp pka-dsa user-name netscreen file-name id_dsa.pub
ip-addr 192.168.10.10 from trust [Enter]
!!!!!
tftp received octets = 609
tftp success!

Save System Configuration …
Done
ns5xt->