セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

IDENT プロトコルが原因の PIX パフォーマンスの問題

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 5 月 29 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

PIX ファイアウォールを通過して、Telnet、FTP、HTTP、または POP などを使用する場合に、サーバへの接続に時間が掛かったり、あるいは必要なサーバにまったくアクセスできないという問題が発生する場合があります。

このドキュメントでは、考えられる 2 つの原因として、逆 Domain Name Service(DNS; ドメイン ネーム サービス)のエントリの欠落(『PIX 経由での FTP/HTTP のパフォーマンスが低下したり断続的になる問題』を参照)や、IDENT プロトコルの使用に関する問題について説明しています。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX Firewall ソフトウェア リリース 6.3 以前

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

IDENT プロトコル

IDENT プロトコルは、着信ユーザを識別するために Telnet、POP メール、FTP、および HTTP サーバなどで使用される場合があります。

ユーザからのサービス要求があると、サーバは、接続を開始しようとするプロセスのユーザ名を識別するために、ファイアウォールの背後にいるクライアントに向けて IDENT 接続を開始しようとします。 ところが、この IDENT 接続は、PIX により代行受信されて通知されることなく廃棄されます。 このため、サーバでは期待される応答が受信されないため、ユーザの接続が許可されない可能性があります。

ほとんどの場合、IDENT プロトコルはセキュリティ違反と見なされます。IDENT プロトコルによって、自身のセキュアなネットワークの秘密情報が外部から入手される恐れがあるためです。

症状

次の症状が発生している場合は、IDENT プロトコルにより問題が引き起こされている可能性があります。

  • Telnet、FTP、HTTP、または POP によって特定のサーバへの接続が確立できない。

  • 特定の Telnet、FTP、HTTP、または POP などのサーバに接続するのに長時間待機する必要がある。 ただし、いったん接続されてしまうと、応答時間は通常の状態に戻る。

  • 接続が確立されても、パフォーマンスが低下する。

トラブルシューティング

次の手順でトラブルシューティングを行います。

  1. logging trap debugging コマンドを使用して、ロギングをデバッグ レベルに設定します(PIX ソフトウェア バージョン 4.2 以降の場合)。

  2. syslog 用のホストを設定している場合は、logging host [in_if_name] ip_address コマンドを使用して、syslog の出力をそのホストに送信します。

  3. syslog の出力結果を参照します。 「deny TCP inbound」のメッセージを探します。メッセージには、内部の(該当する)マシンの 1 つに対する宛先ポートが 113 と表示されており、これが IDENT です。 次に、TCP ログのサンプルを示します。

    %PIX-2-106001: Inbound TCP connection denied from 10.64.10.2/35969
    		  to 172.17.110.179/113 flags SYN
  4. 上記の手順で「deny」のメッセージが見つからない場合は、次の手順を実行してださい。 ファイアウォールの Outside から、nslookup コマンドを使用して、自分のグローバル プールでアドレスを解決できるかどうかを確認します。 解決できない場合は、ホストの IP アドレスが DNS に登録されていない可能性があります。 詳細は、『PIX 経由での FTP/HTTP のパフォーマンスが低下したり断続的になる問題』を参照してください。

問題の解決方法

  • アクセスを試みているサーバの管理者に問い合せて、その管理者が IDENT 機能をオフにできるかどうかを確認します。

    または、

  • service resetinbound コマンドを使用して(PIX ソフトウェア バージョン 4.2 以降で使用可能)、PIX を設定します。 PIX は、通常、着信接続が無許可であれば、そのまま廃棄します。 service resetinbound コマンドで PIX を設定していると、PIX から無許可の接続に対して RST が送信されます。 IDENT サービスは、RST を受信してそのクライアントには IDENT サービスを使用できないと通知を受けると、IDENT 要求を引き起こした元のトラフィックの処理を続行します。 この結果、IDENT 処理の遅延が大幅に短縮できます。

    または、

  • permitto tcp 113 オプションを付けて、established コマンドを使用します (最初に「注意」を参照してください)。

注意 注意:  ポート 113 のトラフィックを許可することは、セキュリティ上危険であると見なされる場合があります。 サイトのセキュリティ ポリシーを確認してから、established コマンドを実行するか、static/conduit または static/access リストのペアを追加してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 6370