SSH（Secure Shell）について

SSH（Secure Shell）は、セキュアなリモート アクセス接続をネットワーク
デバイスに提供するプロトコルです。SSH バージョン 1 と SSH バージョン 2 の
どちらでも、クライアントとサーバの間の通信は暗号化されます。

より拡張されたセキュリティ暗号化アルゴリズムを使用するため、可能な場合は
SSH バージョン 2 を実装してください。

※ip ssh versionコマンドでVersionの設定をしなければ、デフォルトで
　Version1,2の両方をサポートする
　⇒show sshコマンドでVersion確認

参考：
http://www.cisco.com/JP/support/public/ht/tac/100/1007844/ssh-j.shtml

Guest VLANについて

Guest VLANとは、
米シスコ・システムズのLANスイッチが備えるセキュリティ機能。
LANに接続するための認証方法を定めた標準仕様「IEEE802.1X」に対応した
LANスイッチが持つ。

本来はLANへの接続を許可できないユーザーでも，インターネット接続だけは
利用できるようにするもの。

例えば，社外のユーザーやWindows MeのようなIEEE802.1Xに対応しない端末が
LANポートに接続してきた場合，端末またはユーザーに対してインターネット
接続だけを許可し，LAN内部には入れないようにする。

参考：
http://itpro.nikkeibp.co.jp/word/page/10009643/

TCP Interceptについて

「TCP Intercept」はDoS攻撃の一種である、「TCP SYN-flooding attacks」
を防ぐ為の手法です。

＃「TCP SYN-flooding attacks」は3wayハンドシェイクのSYNパケットだけを
＃投げ、ACKを返さないことで不完全な接続要求を大量に送り、接続要求を
＃行えなくする攻撃方法です。

・TCP Interceptモードの設定
(config)#ip tcp intercept mode {intercept | watch}
「ip tcp intercept」コマンドでパラーメーターを設定
※デフォルトでは「Intercept」モードになっています。

■Interceptモード
3wayハンドシェイクのサーバーとのコネクションをルーターが変わりに
実施し、SYN-ACKをルーターがクライアントへ送ります。
そこでSYN ACKが帰ってきたらサーバーにSYNを送り、クライアント・サーバ
間でのセッションに戻します。

Interceptモードはルータがクライアントとサーバ間の3way handshakeを
仲介するので、ルータに処理負荷がかかります。
動作モードをWatchモードに変えればルータは3way handshakeを仲介しなく
なりますので、処理負荷は小さくなります。

■watchモード
ルーターはクライアント・サーバ間での3wayハンドシェイクを監視し、
ある時間（デフォルト30秒）待ってセッションか確立されなければ、
ルーターはサーバにセッションのリセットを要求します。

Router(config)# ip tcp intercept mode watch
Wachモードにすると、ルータはクライアントからのSYN+ACKが返ってくるかを
監視します。デフォルトでは30秒応答が無い場合サーバに対してRSTを送ります。
例えば、15秒応答が無い場合にRSTを返す設定をするとなると以下のように
なります。

(config)#ip tcp intercept mode watch
Router(config)# ip tcp intercept watch-timeout 15

参考：
http://www.n-study.com/network/2006/08/configuring_tcp_2.html
http://www.netagency.biz/ccie/modules/smartsection/item.php?itemid=80