Comments
Description
Transcript
ステートフルインスペクションの概要
CHAPTER 1 セキュリティ アプライアンスの概要 適応型セキュリティ アプライアンスは、高度なステートフル ファイアウォールと VPN コンセント レータの機能を 1 つのデバイスに組み合せたもので、一部のモデルでは、AIP SSM/SSC と呼ばれる統 合侵入防御モジュールや、CSC SSM と呼ばれる統合コンテンツ セキュリティおよび制御モジュールが 組み込まれています。適応型セキュリティ アプライアンスの多数の高度な機能には、マルチセキュリ ティ コンテキスト(仮想ファイアウォールに類似)、透過(レイヤ 2)ファイアウォール動作または ルーテッド(レイヤ 3)ファイアウォール動作、高度な検査エンジン、IPSec VPN、SSL VPN、および クライアントレス SSL VPN のサポート、その他の機能があります。 この章には、次の項があります。 • 「モデルごとの SSM および SSC サポート」(P.1-1) • 「VPN 仕様」(P.1-2) • 「新機能」(P.1-3) • 「ファイアウォール機能の概要」(P.1-9) • 「VPN 機能の概要」(P.1-14) • 「セキュリティ コンテキストの概要」(P.1-14) モデルごとの SSM および SSC サポート 表 1-1 に各プラットフォームによってサポートされる Security Services Module(SSM; セキュリティ サービス モジュール)と Security Services Card(SSC; セキュリティ サービス カード)を示します。 表 1-1 SSM サポート ASA 5505 サポートしない SSC モデル AIP SSC 5 ASA 5510 AIP SSM 10 サポートしない プラットフォーム SSM モデル AIP SSM 20 CSC SSM 10 CSC SSM 20 4GE SSM Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 1-1 第1章 セキュリティ アプライアンスの概要 VPN 仕様 表 1-1 SSM サポート (続き) プラットフォーム ASA 5520 SSM モデル AIP SSM 10 SSC モデル サポートしない AIP SSM 20 AIP SSM 40 CSC SSM 10 CSC SSM 20 4GE SSM ASA 5540 AIP SSM 10 サポートしない AIP SSM 20 AIP SSM 40 CSC SSM 101 CSC SSM 201 4GE SSM ASA 5550 サポートしない(4GE SSM が組み サポートしない 込まれ、ユーザは削除できません) ASA 5580 サポートしない サポートしない 1. CSC SSM ライセンスでは最大 1,000 ユーザをサポートでき、Cisco ASA 5540 シリーズ アプライアンスではさら に多くのユーザをサポートできます。CSC SSM を ASA 5540 適応型セキュリティ アプライアンスとともに展開す る場合、スキャンする必要があるトラフィックにだけ CSC SSM が送信されるようにセキュリティ アプライアン スを設定してください。 VPN 仕様 http://www.cisco.com/en/US/docs/security/asa/compatibility/asa-vpn-compatibility.html の「Supported VPN Platforms, Cisco ASA 5500 Series」を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 1-2 OL-18970-01-J 第1章 セキュリティ アプライアンスの概要 新機能 新機能 表 1-2 に Version 8.2(1) の新機能を示します。 表 1-2 ASA Version 8.2(1) の新機能 機能 説明 リモート アクセス機能 ASDM 認証のワンタイム ASDM は、現在、RSA SecureID(SDI)でサポートされている One Time Password(OTP; ワン パスワードのサポート タイム パスワード)を使用した管理者による認証をサポートします。この機能は、スタティッ ク パスワードを使用した管理者による認証についてのセキュリティに関する問題に対応します。 ASDM ユーザ用の新しいセッション制御には、セッション時間とアイドル時間を制限する機能 が含まれています。ASDM 管理者によって使用されるパスワードがタイムアウトになった場合、 ASDM は管理者に再認証を求めるプロンプトを表示します。 http server idle-timeout コマンドおよび http server session-timeout コマンドが導入されまし た。http server idle-timeout のデフォルトは 20 分であり、最大 1440 分まで増加できます。 ASDM で、[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPD/Telnet/SSH] を参照してください。 Secure Desktop のカスタ ASDM を使用して、リモート ユーザに対して表示される Secure Desktop の背景(ロックのアイ マイズ コン)とそのテキストの色、[Desktop]、[Cache Cleaner]、[Keystroke Logger]、および [Close Secure Desktop] の各ウィンドウのダイアログ バナーを含む Secure Desktop のウィンドウをカス タマイズできます。 ASDM で、[Configuration] > [CSD Manager] > [Secure Desktop Manager] を参照してください。 証明書からのユーザ名事 前入力 ユーザ名事前入力機能によって、ユーザ名とパスワードによる認証のための証明書から抽出され るユーザ名を使用できます。この機能がイネーブルの場合、ログイン画面でユーザ名が「事前入 力」され、ユーザにはパスワードを求めるプロンプトだけが表示されます。この機能を使用する には、トンネルグループ コンフィギュレーション モードで pre-fill username コマンドと username-from-certificate コマンドの両方を設定する必要があります。 ユーザ名事前入力機能は 2 つのユーザ名が必要な場合に二重認証のためのユーザ名として使用す るために、証明書からのプライマリ ユーザ名とセカンダリ ユーザ名の抽出をサポートできるた め、二重認証機能はユーザ名事前入力機能と互換性があります。ユーザ名事前入力機能を二重認 証に対して設定する場合、管理者は次の新しいトンネルグループ一般アトリビュート コンフィ ギュレーション モードのコマンドを使用します。 • secondary-pre-fill-username:クライアントレスまたは AnyConnect クライアント接続に 対してユーザ名の抽出をイネーブルにします。 • secondary-username-from-certificate:ユーザ名として使用するために証明書からいくつ かの標準 DN フィールドを抽出することを許可します。 ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect or Clienltess SSL VPN Connection Profiles] > [Advanced] を参照してください。設定は、 [Authentication]、[Secondary Authentication]、および [Authorization] パネルにあります。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 1-3 第1章 セキュリティ アプライアンスの概要 新機能 表 1-2 ASA Version 8.2(1) の新機能 (続き) 機能 説明 二重認証 二重認証機能は、Payment Card Industry Standards Council Data Security Standard に従って 2 つ の要素による認証を ネットワークへのリモート アクセスに実装します。この機能では、ユーザ がログイン ページで 2 つの個別のログイン クレデンシャルを入力する必要があります。たとえ ば、プライマリ認証はワンタイム パスワードであり、セカンダリ認証はドメイン(Active Directory)クレデンシャルである場合があります。どちらかの認証が失敗すると、接続が拒否 されます。 AnyConnect VPN クライアントとクライアントレス SSL VPN の両方が二重認証をサポートしま す。AnyConnect クライアントは、Windows コンピュータ(サポートされている Windows Mobile デバイスと Start Before Logon を含む)、Mac コンピュータ、および Linux コンピュータ での二重認証をサポートします。IPsec VPN クライアント、SVC クライアント、カットスルー プロキシ認証、ハードウェア クライアント認証、および管理認証は、二重認証をサポートしま せん。 二重認証には、次の新しいトンネルグループ一般アトリビュート コンフィギュレーション モー ドのコマンドが必要です。 • secondary-authentication-server-group:SDI サーバ グループにすることができないセカ ンダリ AAA サーバ グループを指定します。 • secondary-username-from-certificate:ユーザ名として使用するために証明書からいくつ かの標準 DN フィールドを抽出することを許可します。 • secondary-pre-fill-username:クライアントレスまたは AnyConnect クライアント接続に 対してユーザ名の抽出をイネーブルにします。 • authentication-attr-from-server:どの認証サーバ許可アトリビュートが接続に適用される かを指定します。 • authenticated-session-username:どの認証ユーザ名がセッションに関連付けられるかを指 定します。 (注) RSA/SDI 認証サーバ タイプは、セカンダリ ユーザ名およびパスワード クレデンシャル として使用できません。これはプライマリ認証にだけ使用できます。 ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access or Clientless SSL VPN] > [AnyConnect Connection Profiles] > [Add/Edit] > [Advanced] > [Secondary Authentication] を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 1-4 OL-18970-01-J 第1章 セキュリティ アプライアンスの概要 新機能 表 1-2 ASA Version 8.2(1) の新機能 (続き) 機能 説明 AnyConnect Essentials AnyConnect Essentials は、個別にライセンスが与えられている SSL VPN クライアントであり、 次の例外を除き、完全な AnyConnect 機能を提供する適応型セキュリティ アプライアンスですべ て設定されます。 • CSD はない(HostScan/Vault/Cache Cleaner を含む) • クライアントレス SSL VPN はない • オプションの Windows Mobile サポート AnyConnect Essentials クライアントは、Microsoft Windows Vista、Windows Mobile、 Windows XP または Windows 2000、Linux、または Macintosh OS X を実行しているリモート エンド ユーザに Cisco SSL VPN クライアントの利点を提供します。 AnyConnect Essentials を設定するには、管理者は次のコマンドを使用します。 anyconnect-essentials:AnyConnect Essentials 機能をイネーブルにします。この機能が(この コマンドの no 形式を使用して)ディセーブルになった場合、SSL プレミアム ライセンスが使用 されます。この機能は、デフォルトでイネーブルになっています。 (注) このライセンスは、共有されている SSL VPN プレミアム ライセンスと同時に使用でき ません。 ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials License] を参照してください。AnyConnect Essentials ライセンスは、 ASDM でこのペインを表示するためにインストールする必要があります。 接続プロファイルごとの Cisco Secure Desktop の ディセーブル化 イネーブルにされると、Cisco Secure Desktop は、適応型セキュリティ アプライアンスへの SSL VPN 接続を行うすべてのコンピュータで自動的に実行されます。この新しい機能によって、接 続プロファイル単位で特定のユーザを Cisco Secure Desktop の実行から免除できます。これに よって、これらのセッションのエンドポイント アトリビュートが検出されなくなるため、 Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)コンフィギュレーションを調 整する必要がある場合があります。 CLI:[no] without-csd コマンド (注) ASDM の「接続プロファイル」は、CLI では「トンネル グループ」とも呼ばれます。ま た、この機能には group-url コマンドが必要です。SSL VPN セッションが接続エイリア スを使用する場合、この機能は機能しません。 ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced] > [Clientless SSL VPN Configuration] を参 照してください。 または [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] > [Add or Edit] > [Advanced] > [SSL VPN] を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 1-5 第1章 セキュリティ アプライアンスの概要 新機能 表 1-2 ASA Version 8.2(1) の新機能 (続き) 機能 説明 接続プロファイルごとの 証明書認証 以前のバージョンは各適応型セキュリティ アプライアンス インターフェイスの証明書認証をサ ポートしていたため、ユーザは証明書を必要としない場合でも証明書プロンプトを受信しまし た。この新しい機能では、接続プロファイルのコンフィギュレーションで証明書を必要とする場 合にだけ、ユーザが証明書プロンプトを受信します。この機能は自動的であり、ssl certificate authentication コマンドは不要になりますが、適応型セキュリティ アプライアンスでは下位互 換性のためにこのコマンドを保持しています。 ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] > [Add/Edit] > [Basic] を参照してください。 または [Configuraiton] > [Remote Access VPN] > [Clientless SSL VPN] > [Connection Profiles] > [Add/Edit] > [Basic] を参照してください。 証明書マッピングのため の EKU 拡張機能 この機能は、クライアント証明書の Extended Key Usage(EKU; 拡張されたキー使用)の拡張機 能を確認し、クライアントがどの接続プロファイルを使用する必要があるかをこれらの値を使用 して決定する証明書マップを作成する機能を追加します。クライアントがそのプロファイルと一 致しない場合、デフォルト グループが使用されます。その後の接続の結果は、証明書が有効で あるかどうか、および接続プロファイルの認証設定によって決まります。 extended-key-usage コマンドが導入されました。 ASDM で、[IPSec Certificate to Connection Maps] > [Rules] ペインまたは [Certificate to SSL VPN Connections Profile Maps] ペインを使用します。 Win 2007 サーバ用 SSL VPN SharePoint のサ クライアントレス SSL VPN セッションは、現在、Microsoft Office SharePoint Server 2007 をサ ポートします。 ポート SSL VPN セッション用 の共有ライセンス 多数の SSL VPN セッションとともに共有ライセンスを購入し、適応型セキュリティ アプライア ンスのいずれかを共有ライセンス サーバとして設定し、残りをクライアントとして設定するこ とによって、適応型セキュリティ アプライアンスのグループ間で必要に応じてセッションを共 有できます。license-server コマンド(複数種)および show shared license コマンドが導入さ れました。 (注) このライセンスは、AnyConnect Essentials ライセンスと同時には使用できません。 ASDM で、[Configuration] > [Device Management] > [Licensing] > [Shared SSL VPN Licenses] を参照してください。また、[Monitoring] > [VPN] > [Clientless SSL VPN] > [Shared Licenses] も参照してください。 ファイアウォール機能 TCP ステート バイパス アップストリーム ルータに設定された非対称ルーティングがあり、トラフィックが 2 つの適応型 セキュリティ アプライアンスの間で切り替わる場合は、特定のトラフィックに対して TCP ス テート バイパスを設定できます。set connection advanced tcp-state-bypass コマンドが導入さ れました。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Rule Actions] > [Connection Settings] を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 1-6 OL-18970-01-J 第1章 セキュリティ アプライアンスの概要 新機能 表 1-2 ASA Version 8.2(1) の新機能 (続き) 機能 説明 Phone Proxy によって使 Version 8.0(4) では、適応型セキュリティ アプライアンスでグローバルな Media-Termination Address(MTA; メディア ターミネーション アドレス)を設定しました。Version 8.2 では、(最 小で 2 つの MTA を使用して)個別のインターフェイスに MTA を設定できます。この機能拡張 の結果として、古い CLI は非推奨となりました。必要に応じて、古いコンフィギュレーションを 用されるメディア ターミ ネーション インスタンス のインターフェイスごと の IP アドレス 使用し続けることができます。ただし、コンフィギュレーションを変更する必要がある場合は、 新しいコンフィギュレーション方法だけが受け入れられます。その後は古いコンフィギュレー ションを復元できません。 ASDM で、[Configuration] > [Firewall] > [Advanced] > [Encrypted Traffic Inspection] > [Media Termination Address] を参照してください。 Phone Proxy 用の CTL ファイルの表示 Cisco Phone Proxy 機能には、電話プロキシによって使用される CTL ファイルの内容を表示する show ctl-file コマンドが含まれています。show ctl-file コマンドを使用すると、電話プロキシ イ ンスタンスを設定する場合のデバッグに便利です。 このコマンドは ASDM ではサポートされていません。 Phone Proxy データベー Cisco Phone Proxy 機能には、電話プロキシ データベースの secure-phone エントリをクリアする スからの secure-phone エ clear phone-proxy secure-phones コマンドが含まれています。セキュアな IP 電話は常に起動時 ントリのクリア に CTL ファイルを要求するため、電話プロキシは IP 電話がセキュアであることを示すデータ ベースを作成します。セキュアな電話データベースのエントリは、(timeout secure-phones コ マンドによって)指定された設定済みのタイムアウトの後に削除されます。また、clear phone-proxy secure-phones コマンドを使用して、設定されたタイムアウトを待つことなく電話 プロキシ データベースをクリアすることができます。 このコマンドは ASDM ではサポートされていません。 H.323 アプリケーション このリリースでは、適応型セキュリティ アプライアンスは H.239 規格を H.323 アプリケーショ 検査での H.239 メッセー ン検査の一部としてサポートします。H.239 は単一のコールで H.300 シリーズのエンドポイント ジのサポート に追加ビデオ チャネルを開く機能を提供する規格です。コールで、エンドポイント(ビデオ電 話など)はビデオ用チャネルとデータ プレゼンテーション用チャネルを送信します。H.239 ネゴ シエーションは H.245 チャネルで発生します。適応型セキュリティ アプライアンスが追加メ ディア チャネル用のピンホールを開きます。エンドポイントは、Open Logical Channel Message (OLC; オープン論理チャネル メッセージ)を使用して新しいチャネルの作成を通知します。 メッセージ拡張は H.245 バージョン 13 の一部です。テレプレゼンテーション セッションの復号 化と符号化はデフォルトでイネーブルにされます。H.239 の符号化と復号化は ASN.1 コーダに よって実行されます。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard] > [Rule Actions] > [Protocol Inspection] > [H.323 H.225] を参照してください。 [Configure] をクリックしてから [H.323 Inspect Map] を選択します。 エンドポイントが OLCAck を送信しない場 合の H.323 エンドポイン トの処理 H.323 アプリケーション検査は、共通の H.323 エンドポイントを処理するように拡張されまし た。この機能拡張によって、H.239 プロトコル識別子を持つ extendedVideoCapability OLC を使 用するエンドポイントは影響を受けます。H.323 エンドポイントがピアから OLC メッセージを 受信した後に OLCAck を送信しない場合でも、適応型セキュリティ アプライアンスは OLC メ ディア提案情報をメディア アレイに伝搬して、メディア チャネル(extendedVideoCapability) のピンホールを開きます。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard] > [Rule Actions] > [Protocol Inspection] > [H.323 H.225] を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 1-7 第1章 セキュリティ アプライアンスの概要 新機能 表 1-2 ASA Version 8.2(1) の新機能 (続き) 機能 説明 透過ファイアウォール モードでの IPv6 透過ファイアウォール モードは現在 IPv6 ルーティングに参加します。このリリース以前には、 適応型セキュリティ アプライアンスは IPv6 トラフィックをトランスペアレント モードで渡すこ とができませんでした。現在は、トランスペアレント モードで IPv6 管理アドレスを設定し、 IPv6 アクセスリストを作成し、その他の IPv6 機能を設定できます。適応型セキュリティ アプラ イアンスは IPv6 パケットを認識し、渡します。 すべての IPv6 の機能は、特に注記される場合を除き、サポートされます。 ASDM で、[Configuration] > [Device Management] > [Management Access] > [Management IP Address] を参照してください。 ボットネット トラフィッ マルウェアは、ホストが認識していないときにインストールされる悪意のあるソフトウェアで す。プライベート データ(パスワード、クレジット カード番号、キー ストローク、または独自 ク フィルタ データ)の送信などのネットワーク アクティビティを試みるマルウェアは、マルウェアが既知 の不正な IP アドレスへの接続を開始したときにボットネット トラフィック フィルタによって検 出できます。ボットネット トラフィック フィルタは、着信と発信の接続を既知の不正なドメイ ン名と IP アドレス のダイナミック データベースと照合して確認し、不審なアクティビティのロ グを記録します。ローカルの「ブラックリスト」または「ホワイトリスト」の IP アドレスまた はドメイン名を入力することによって、ダイナミック データベースにスタティック データベー スを補足することもできます。 dynamic-filter コマンド(複数種)および inspect dns dynamic-filter-snoop キーワードという コマンドが導入されました。 ASDM で、[Configuration] > [Firewall] > [Botnet Traffic Filter] を参照してください。 ASA 5505 用 AIP SSC カード AIP SSC は IPS に ASA 5505 適応型セキュリティ アプライアンスを提供します。AIP SSM は仮 想センサーをサポートしないことに注意してください。allow-ssc-mgmt、hw-module module ip、および hw-module module allow-ip コマンドが導入されました。 ASDM で、[Configuration] > [Device Setup] > [SSC Setup and Configuration] > [IPS] を参照し てください。 IPS の IPv6 サポート トラフィック クラスが match any コマンドを使用する場合、およびポリシーマップが ips コマ ンドを指定する場合に、IPv6 トラフィックを AIP SSM または SSC に送信できます。 ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] を参照してください。 管理機能 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 1-8 OL-18970-01-J 第1章 セキュリティ アプライアンスの概要 ファイアウォール機能の概要 表 1-2 ASA Version 8.2(1) の新機能 (続き) 機能 説明 SNMP バージョン 3 と暗 このリリースは、DES、3DES、または AES 暗号化を提供し、サポートされているセキュリティ モデルの中で最もセキュアな形態である SNMP バージョン 3 をサポートします。このバージョ ンでは、User-based Security Model(USM; ユーザベース セキュリティ モデル)を使用して認 号化 証の特性を設定できます。 次のコマンドが導入されました。 • show snmp engineid • show snmp group • show snmp-server group • show snmp-server user • snmp-server group • snmp-server user 次のコマンドが変更されました。 • snmp-server host ASDM で、[Configuration] > [Device Management] > [Management Access] > [SNMP] を参照 してください。 ルーティング機能 マルチキャスト NAT 適応型セキュリティ アプライアンスは、現在、グループ アドレスに対するマルチキャスト NAT のサポートを提供します。 トラブルシューティング機能 コア ダンプ機能 コア ダンプは、プログラムが異常終了した場合の実行中のプログラムのスナップショットです。 コア ダンプは、エラーを診断またはデバッグするため、および障害を後からまたはオフサイト で分析するために保存するために使用されます。Cisco TAC では、ユーザがコア ダンプ機能を イネーブルにして、適応型セキュリティ アプライアンスでのアプリケーションまたはシステム のクラッシュをトラブルシューティングする必要がある場合があります。 コア ダンプをイネーブルにするには、coredump enable コマンドを参照してください。 ファイアウォール機能の概要 ファイアウォールは、外部ネットワーク上のユーザによる不正アクセスから内部ネットワークを保護し ます。また、ファイアウォールは、人事部門ネットワークをユーザ ネットワークから分離するなど、 内部ネットワーク同士の保護も行います。Web サーバまたは FTP サーバなど、外部のユーザが使用で きるようにする必要のあるネットワーク リソースがあれば、ファイアウォールで保護された別のネッ トワーク(Demiliterized Zone(DMZ; 非武装地帯)と呼ばれる)上に配置します。ファイアウォール によって DMZ に許可されるアクセスは限定されますが、DMZ にあるのは公開サーバだけのため、こ の地帯が攻撃されても影響を受けるのは公開サーバに限定され、他の内部ネットワークに影響が及ぶこ とはありません。また、特定アドレスだけに許可する、認証または認可を義務づける、または外部の URL フィルタリング サーバと協調するといった手段によって、内部ユーザが外部ネットワーク(イン ターネットなど)にアクセスする機会を制御することもできます。 ファイアウォールに接続されているネットワークに言及する場合、外部ネットワークはファイアウォー ルの手前にあるネットワーク、内部ネットワークはファイアウォールの背後にある保護されているネッ トワーク、そして DMZ はファイアウォールの背後にあるが、外部ユーザに制限付きのアクセスが許さ Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 1-9 第1章 セキュリティ アプライアンスの概要 ファイアウォール機能の概要 れているネットワークです。適応型セキュリティ アプライアンスを使用すると、数多くのインター フェイスに対してさまざまなセキュリティ ポリシーが設定できます。このインターフェイスには、多 数の内部インターフェイス、多数の DMZ、および必要に応じて多数の外部インターフェイスが含まれ るため、ここでは、このインターフェイスの区分は一般的な意味で使用するだけです。 この項は、次の内容で構成されています。 • 「セキュリティ ポリシーの概要」(P.1-10) • 「ファイアウォール モードの概要」(P.1-12) • 「ステートフル インスペクションの概要」(P.1-13) セキュリティ ポリシーの概要 他のネットワークにアクセスするために、ファイアウォールを通過することが許可されるトラフィック がセキュリティ ポリシーによって決められます。デフォルトでは、内部ネットワーク(高セキュリティ レベル)から外部ネットワーク(低セキュリティ レベル)へのトラフィックは、自由に流れることが適 応型セキュリティ アプライアンスによって許可されます。トラフィックにアクションを適用してセキュ リティ ポリシーをカスタマイズすることができます。この項は、次の内容で構成されています。 • 「アクセスリストによるトラフィックの許可または拒否」(P.1-10) • 「NAT の適用」(P.1-10) • 「IP フラグメントからの保護」(P.1-11) • 「通過トラフィックに対する AAA の使用」(P.1-11) • 「HTTP、HTTPS、または FTP フィルタリングの適用」(P.1-11) • 「アプリケーション検査の適用」(P.1-11) • 「Advanced Inspection and Prevention Security Services Module(AIP SSM )へのトラフィック送 信」(P.1-11) • 「Content Security and Control Security Services Module(CSC SSM)へのトラフィック送信」 (P.1-11) • 「QoS ポリシーの適用」(P.1-12) • 「接続の制限と TCP 正規化の適用」(P.1-12) アクセスリストによるトラフィックの許可または拒否 アクセスリストは、内部から外部へのトラフィックを制限するため、および外部から内部へのトラ フィックを許可するために使用することができます。透過ファイアウォール モードでは、非 IP トラ フィックを許可するための EtherType アクセスリストも適用できます。 NAT の適用 NAT の利点のいくつかを次に示します。 • 内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インター ネットにルーティングできません。 • NAT はローカル アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレ スを取得できません。 • NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 1-10 OL-18970-01-J 第1章 セキュリティ アプライアンスの概要 ファイアウォール機能の概要 IP フラグメントからの保護 適応型セキュリティ アプライアンスは IP フラグメント保護を提供します。この機能は、すべての ICMP エラー メッセージの完全リアセンブリ、および適応型セキュリティ アプライアンスを介して ルーティングされる残りの IP フラグメントの仮想リアセンブリを実行します。セキュリティ チェック に失敗したフラグメントは、ドロップされログに記録されます。仮想リアセンブリはディセーブルにで きません。 通過トラフィックに対する AAA の使用 HTTP など特定のタイプのトラフィックに対して、認証と認可のいずれかまたは両方を要求することが できます。適応型セキュリティ アプライアンスは、RADIUS サーバまたは TACACS+ サーバにアカウ ンティング情報を送信することもあります。 HTTP、HTTPS、または FTP フィルタリングの適用 アクセスリストを使用して、特定の Web サイトまたは FTP サーバへの発信アクセスを禁止できます が、このような方法で Web サイトの使用方法を設定し管理することは、インターネットの規模とダイ ナミックな特性から、実用的とはいえません。適応型セキュリティ アプライアンスを、次のインター ネット フィルタリング製品のいずれかを実行している別のサーバと連携させて使用することをお勧め します。 • Websense Enterprise • Secure Computing SmartFilter アプリケーション検査の適用 検査エンジンは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナ ミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロト コルは、適応型セキュリティ アプライアンスが詳細なパケット検査を行うことを要求します。 Advanced Inspection and Prevention Security Services Module(AIP SSM)へのトラ フィック送信 使用しているモデルが侵入防御用の AIP SSM をサポートしている場合、トラフィックを AIP SSM に 送信して検査することができます。AIP SSM は、多数の埋め込み署名ライブラリに基づいて異常や悪 用を探索することでネットワーク トラフィックの監視およびリアルタイム分析を行う侵入防御サービ ス モジュールです。システムで不正なアクティビティが検出されると、侵入防御サービス機能は、該 当する接続を終了して攻撃元のホストを永続的にブロックし、この事象をログに記録し、さらにアラー トを Device Manager に送信します。その他の正規の接続は、中断することなく独立した動作を継続し ます。詳細については、『Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface』を参照してください。 Content Security and Control Security Services Module(CSC SSM)へのトラフィック 送信 使用しているモデルでサポートされていれば、CSC SSM により、ウイルス、スパイウェア、スパム、 およびその他の不要トラフィックから保護されます。これは、FTP、HTTP、POP3、および SMTP ト ラフィックをスキャンすることで実現されます。そのためには、これらのトラフィックを CSC SSM に 送信するように適応型適応型セキュリティ アプライアンスを設定しておきます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 1-11 第1章 セキュリティ アプライアンスの概要 ファイアウォール機能の概要 QoS ポリシーの適用 音声やストリーミング ビデオなどのネットワーク トラフィックでは、長時間の遅延は許容されません。 QoS は、この種のトラフィックにプライオリティを設定するネットワーク機能です。QoS とは、選択 したネットワーク トラフィックによりよいサービスを提供するネットワークの機能です。 接続の制限と TCP 正規化の適用 TCP 接続、UDP 接続、および初期接続を制限することができます。接続と初期接続の数を制限するこ とで、DoS 攻撃(サービス拒絶攻撃)から保護されます。適応型セキュリティ アプライアンスでは、 初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを 使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続 とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。 TCP 正規化は、正常に見えないパケットをドロップするように設計された高度な TCP 接続設定で構成 される機能です。 脅威検出のイネーブル化 スキャン脅威検出と基本脅威検出、さらに統計情報を使用して脅威を分析する方法を設定できます。 基本脅威検出は、DoS 攻撃などの攻撃に関係している可能性のあるアクティビティを検出し、自動的 にシステム ログ メッセージを送信します。 典型的なスキャン攻撃では、あるホストがサブネット内の IP アドレスにアクセスできるかどうかを 1 つずつ試します(サブネット内の複数のホストすべてを順にスキャンするか、1 つのホストまたはサブ ネットの複数のポートすべてを順にスイープする)。スキャン脅威検出機能は、いつホストがスキャン を実行するかを判別します。トラフィック署名に基づく IPS スキャン検出とは異なり、適応型セキュリ ティ アプライアンスのスキャン脅威検出機能では広範なデータベースが維持され、そこに格納されて いるホストの統計情報を使用してスキャン アクティビティがあるかどうかを分析できます。 ホスト データベースは、アクティビティを返さない接続、閉じられているサービス ポートへのアクセ ス、非ランダム IPID などの脆弱な TCP の動作、およびその他の疑わしいアクティビティを追跡しま す。 攻撃者に関するシステム ログ メッセージを送信するように適応型セキュリティ アプライアンスを設定 できます。または自動的にホストを排除できます。 ファイアウォール モードの概要 適応型セキュリティ アプライアンスは、次の 2 つのファイアウォール モードで動作します。 • ルーテッド • 透過 ルーテッド モードでは、適応型セキュリティ アプライアンスは、ネットワークのルータ ホップと見な されます。 トランスペアレント モードでは、適応型セキュリティ アプライアンスは「bump-in-the-wire(BITW)」 または「ステルス ファイアウォール」のように動作し、ルータ ホップとは見なされません。適応型セ キュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワーク が接続されます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 1-12 OL-18970-01-J 第1章 セキュリティ アプライアンスの概要 ファイアウォール機能の概要 透過ファイアウォールは、ネットワーク コンフィギュレーションを簡単にするために使用できます。 トランスペアレント モードは、攻撃者からファイアウォールが見えないようにする場合にも有効です。 透過ファイアウォールは、他の場合にはルーテッド モードでブロックされるトラフィックにも使用で きます。たとえば、透過ファイアウォールでは、EtherType アクセスリストを使用するマルチキャスト ストリームが許可されます。 ステートフル インスペクションの概要 適応型セキュリティ アプライアンスを通過するトラフィックはすべて、アダプティブ セキュリティ ア ルゴリズムを使用して検査され、通過が許可されるか、またはドロップされます。単純なパケット フィルタは、送信元アドレス、宛先アドレス、およびポートが正しいかどうかはチェックできますが、 パケット シーケンスまたはフラグが正しいかどうかはチェックしません。また、フィルタはすべての パケットをフィルタと照合してチェックするため、処理が低速になる場合があります。 ただし、適応型セキュリティ アプライアンスのようなステートフル ファイアウォールは、パケットの 次のようなステートについて検討します。 • 新規の接続かどうか。 新規の接続の場合、適応型セキュリティ アプライアンスは、パケットをアクセスリストと照合し てチェックする必要があり、これ以外の各種のタスクを実行してパケットの許可または拒否を決定 する必要があります。このチェックを行うために、セッションの最初のパケットは「セッション管 理パス」を通過しますが、トラフィックのタイプに応じて、「コントロール プレーン パス」も通過 する場合があります。 セッション管理パスで行われるタスクは次のとおりです。 – アクセスリストとの照合チェック – ルート ルックアップ – NAT 変換(xlates)の割り当て – 「ファースト パス」でのセッション確立 レイヤ 7 検査が必要なパケット(パケットのペイロードの検査または変更が必要)は、コントロー ル プレーン パスに渡されます。レイヤ 7 検査エンジンは、2 つ以上のチャネルを持つプロトコル で必要です。2 つ以上のチャネルの 1 つは周知のポート番号を使用するデータ チャネルで、その他 はセッションごとに異なるポート番号を使用するコントロール チャネルです。このようなプロト コルには、FTP、H.323、および SNMP があります。 • 確立済みの接続かどうか。 接続がすでに確立されている場合は、適応型セキュリティ アプライアンスでパケットの再チェッ クを行う必要はありません。一致するパケットの大部分は、両方向で「ファースト」パスを通過で きます。ファースト パスで行われるタスクは次のとおりです。 – IP チェックサム検証 – セッション ルックアップ – TCP シーケンス番号のチェック – 既存セッションに基づく NAT 変換 – レイヤ 3 ヘッダー調整およびレイヤ 4 ヘッダー調整 UDP プロトコルまたは他のコネクションレス型プロトコルに対して、適応型セキュリティ アプラ イアンスはコネクション ステート情報を作成して、ファースト パスも使用できるようにします。 レイヤ 7 検査を必要とするプロトコルに合致するデータ パケットもファースト パスを通過できます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 1-13 第1章 セキュリティ アプライアンスの概要 VPN 機能の概要 確立済みセッション パケットの中には、セッション管理パスまたはコントロール プレーン パスを 引き続き通過しなければならないものがあります。セッション管理パスを通過するパケットには、 検査またはコンテンツ フィルタリングを必要とする HTTP パケットが含まれます。コントロール プレーン パスを通過するパケットには、レイヤ 7 検査を必要とするプロトコルのコントロール パ ケットが含まれます。 VPN 機能の概要 VPN は、TCP/IP ネットワーク(インターネットなど)上のセキュアな接続で、プライベートな接続と して表示されます。このセキュアな接続はトンネルと呼ばれます。適応型セキュリティ アプライアン スは、トンネリング プロトコルを使用して、セキュリティ パラメータのネゴシエート、トンネルの作 成および管理、パケットのカプセル化、トンネルを通したパケットの送信または受信、パケットのカプ セル化の解除を行います。適応型セキュリティ アプライアンスは、双方向のトンネル エンドポイント として機能します。たとえば、プレーン パケットを受信してカプセル化し、それをトンネルのもう一 方の側に送信することができます。そのエンドポイントで、パケットはカプセル化が解除され、最終的 な宛先に送信されます。また、セキュリティ アプライアンスは、カプセル化されたパケットを受信し てカプセル化を解除し、それを最終的な宛先に送信することもできます。適応型セキュリティ アプラ イアンスは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。 適応型セキュリティ アプライアンスが実行する機能は次のとおりです。 • トンネルの確立 • トンネル パラメータのネゴシエーション • ユーザの認証 • ユーザ アドレスの割り当て • データの暗号化と復号化 • セキュリティ キーの管理 • トンネルを通したデータ転送の管理 • トンネル エンドポイントまたはルータとしての着信データと発信データの転送の管理 適応型セキュリティ アプライアンスは、これらの機能を実行するためにさまざまな標準プロトコルを 起動します。 セキュリティ コンテキストの概要 1 台の適応型セキュリティ アプライアンスを、セキュリティ コンテキストと呼ばれる複数の仮想装置 に分割することができます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、 および管理者を持つ独立した装置です。マルチコンテキストは、複数のスタンドアロン装置を使用する ことに似ています。マルチコンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、 IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、 いくつかの機能はサポートされません。 マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスには、セキュリティ ポリ シー、インターフェイス、およびスタンドアロン装置で設定できるほとんどのオプションを識別するコ ンテキストごとのコンフィギュレーションが含まれます。システム管理者は、システム コンフィギュ レーションに設定することでコンテキストを追加および管理します。このコンフィギュレーションは、 シングルモードのコンフィギュレーション同様、スタートアップ コンフィギュレーションです。シス テム コンフィギュレーションは、適応型セキュリティ アプライアンスの基本設定を識別します。シス テム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 1-14 OL-18970-01-J 第1章 セキュリティ アプライアンスの概要 セキュリティ コンテキストの概要 定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバから コンテキストをダウンロードするときなど)は、管理コンテキストとして指定されたコンテキストのい ずれかを使用します。 管理コンテキストは、他のコンテキストとまったく同じです。ただし、ユーザが管理コンテキストにロ グインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキ ストにアクセス可能になる点が異なります。 (注) 管理者は、自分のコンテキストすべてをルーテッド モードまたはトランスペアレント モードで実行す ることができますが、一部のコンテキストを一方のモードで実行し、他のコンテキストをもう一方の モードで実行することはできません。 マルチコンテキスト モードでは、スタティック ルーティングだけをサポートします。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 1-15 第1章 セキュリティ アプライアンスの概要 セキュリティ コンテキストの概要 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 1-16 OL-18970-01-J