セキュリティ : Cisco IOS ファイアウォール

コンテキストベース アクセス管理(CBAC): 導入および設定

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 4 月 2 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco IOS のコンテキストベース アクセス管理(CBAC)機能か。 設定されるファイアウォール機能はアクティブにファイアウォールの後ろのアクティビティを点検します。 CBAC はどんなトラフィックがアクセス・リストのか使用によって放ったある必要があるかどんなトラフィックが受信したある必要があり、(同じように Cisco その IOS アクセス・リストを使用するか)指定します。 但し、CBAC アクセス・リストはプロトコルの点検がプロトコルがファイアウォールの後ろでシステムに行く前に改竄されないことを確かめるようにする IP Inspect 文が含まれています。

前提条件

要件

この文書のための特定の要件がありません。

使用するコンポーネント

この文書は特定のソフトウェアおよびハードウェア バージョンに制限されません。

表記法

文書規定に関する詳細については、Cisco テクニカル・ティップ規定を参照して下さい。

基礎的な情報

CBAC もネットワーク・アドレス変換(NAT)、設定と純粋な点検を用いるこの文書取り引きで主に使用することができます。 NAT を行う場合、あなたのアクセス・リストはない実アドレス グローバル・アドレスを反映する必要があります。

設定前に、これらの質問を考慮して下さい。

どんなトラフィックを放ちたいと思いますか。

どんなトラフィックを放ちたいと思うか決まりますがあなたのサイト セキュリティ ポリシーによって、この一般例ですべては許可された送信です。 あなたのアクセス・リストがすべてを拒否する場合、トラフィックは一切発信できません。 この拡張アクセス リストとの下り線を指定して下さい:

access-list 101 permit ip [source-network] [source-mask] any
access-list 101 deny ip any any

どんなトラフィックを受信したいと思いますか。

どんなトラフィックを受信したいと思うか決まりますあなたのサイト セキュリティ ポリシーによって。 但し、論理的にはあなたのネットワークに害を与えないものということになります。

この例では、受信してが論理的なようであるトラフィックのリストがあります。 インターネット制御メッセージ・プロトコル(ICMP)トラフィックは通常許容できます、しかし DOS 不正侵入を受ける可能性があります。 これは着信トラフィックのためのサンプル アクセス・リストです:

延長 IP アクセス・リスト 101

permit tcp 10.10.10.0 0.0.0.255 any (84 matches)
permit udp 10.10.10.0 0.0.0.255 any
permit icmp 10.10.10.0 0.0.0.255 any (3 matches)
deny ip any any

延長 IP アクセス・リスト 102

permit eigrp any any (486 matches)
permit icmp any 10.10.10.0 0.0.0.255 echo-reply (1 match)
permit icmp any 10.10.10.0 0.0.0.255 unreachable
permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
permit icmp any 10.10.10.0 0.0.0.255 echo (1 match)
permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
deny ip any any (62 matches)

access-list 101 permit tcp 10.10.10.0 0.0.0.255 any
access-list 101 permit udp 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp 10.10.10.0 0.0.0.255 any
access-list 101 deny ip any any

access-list 102 permit eigrp any any
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo-reply
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 unreachable
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
access-list 102 deny ip any any

アクセス・リスト 101 は下り線のためです。 アクセス・リスト 102 は受信トラフィックのためです。 アクセス・リストはルーティング プロトコル、高められた Interior Gateway Routing Protocol (EIGRP)、および指定 ICMP 受信トラフィックだけ許可を与えます。

例では、ルータのイーサネット側面のサーバはインターネットからアクセスが不可能です。 アクセス・リストはセッションの設定からそれをブロックします。 アクセス可能にするために、アクセス・リストは会話を起こる許可するように修正される必要があります。 アクセス・リストを変更するために、アクセス・リストを取除き、編集し、更新済アクセス・リストを再適用して下さい。

注: 編集し、再適用しなさい前に access-list 102 を取除くという理由は、原因「否定しますアクセス・リストの端に」あらゆる IP をです。 この場合 access-list を取除く前に新しいエントリを加えるべきなら、新しいエントリは否定の後で現われます。 従って、それは決してチェックされません。

この例は 10.10.10.1 だけのためのシンプル・メール転送プロトコル(SMTP)を加えます。

延長 IP アクセス・リスト 102

permit eigrp any any (385 matches)
permit icmp any 10.10.10.0 0.0.0.255 echo-reply
permit icmp any 10.10.10.0 0.0.0.255 unreachable
permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
permit icmp any 10.10.10.0 0.0.0.255 echo
permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
permit tcp any host 10.10.10.1 eq smtp (142 matches)

!--- In this example, you inspect traffic that has been
!--- initiated from the inside network.

どんなトラフィックを検査したいと思いますか。

Cisco IOS サポート内の CBAC:

キーワード名前 プロトコル
cuseeme CUSeeMe プロトコル
ftp ファイル転送プロトコル
h323 H.323 プロトコル(たとえば Microsoft NetMeeting または Intel ビデオ電話)
http HTTP プロトコル
rcmd R は命じます(r-exec、r-login、r-sh)
RealAudio 実質可聴周波プロトコル
RPC リモート・プロシージャ・コール プロトコル
smtp シンプル・メール転送プロトコル
sqlnet SQL ネット プロトコル
streamworks StreamWorks プロトコル
TCP 伝送制御プロトコル
tftp TFTP プロトコル
UDP (ユーザ・データグラム・プロトコル) ユーザ・データグラム・プロトコル
vdolive VDOLive プロトコル

各プロトコルはキーワード名前に結ばれます。 点検したいと思うインターフェイスにキーワード名前を適用して下さい。 たとえば、この設定は FTP、SMTP および Telnet を点検します:

router1#configure
Configuring from terminal, memory, or network [terminal]? Enter configuration
commands, one per line. End with CNTL/Z.
router1(config)#ip inspect name mysite ftp
router1(config)#ip inspect name mysite smtp
router1(config)#ip inspect name mysite tcp
router1#show ip inspect config
Session audit trail is disabled
one-minute (sampling period) thresholds are [400:500]connections
max-incomplete sessions thresholds are [400:500]
max-incomplete tcp connections per host is 50.
Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name mysite

ftp timeout 3600
smtp timeout 3600
tcp timeout 3600

この文書はどんなトラフィックを受信したいと思いどんなトラフィックを検査したいと思うかどんなトラフィックを放ちたいと思うかアドレス指定します。 CBAC を設定するために準備されるのでこれらのステップを完了して下さい:

  1. 設定を適用して下さい。

  2. 上述のように設定されるようにアクセス・リストを入れて下さい。

  3. 点検文を設定して下さい。

  4. インターフェイスにアクセス・リストを追加して下さい。

この手順の後で、あなたの設定はこのダイアグラムおよび設定に示すように現われます。

32.gif

コンテキストベース アクセス管理設定
!
version 11.2
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname router1
!
!
no ip domain-lookup
ip inspect name mysite ftp
ip inspect name mysite smtp
ip inspect name mysite tcp
!
interface Ethernet0
ip address 10.10.10.2 255.255.255.0
ip access-group 101 in
ip inspect mysite in


no keepalive
!
interface Serial0
no ip address
encapsulation frame-relay
no fair-queue
!
interface Serial0.1 point-to-point
ip address 10.10.11.2 255.255.255.252
ip access-group 102 in
frame-relay interface-dlci 200 IETF
!
router eigrp 69
network 10.0.0.0
no auto-summary
!
ip default-gateway 10.10.11.1
no ip classless
ip route 0.0.0.0 0.0.0.0 10.10.11.1
access-list 101 permit tcp 10.10.10.0 0.0.0.255 any
access-list 101 permit udp 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp 10.10.10.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 102 permit eigrp any any
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo-reply
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 unreachable
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
access-list 102 permit tcp any host 10.10.10.1 eq smtp
access-list 102 deny ip any any
!
line con 0
line vty 0 4
login
!
end

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13814