セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

2台のルータを用いた場合のCisco Secure PIX Firewallの設定

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2002 年 3 月 14 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


対話式: この文書では、個別のユーザに合わせたシスコ デバイスの分析を行います。


目次


概要

この設定例では、ルータと Cisco Secure PIX Firewall の組み合わせを使用してネットワークを保護する方法を示します。 また 3 つのレベル(ルータ 2 台と PIX Firewall)での防御、および潜在的なセキュリティ アタックを特定するための syslog サーバへのロギング設定を紹介します。

注: この資料では、ネットワークを不正侵入から防御するために必要となるパスワード選択やその他のセキュリティ手段については扱いません。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

この文書に記載されている情報は PIX ソフトウェア バージョン 5.3.1 と それ以降に基づいています。

注: PIX ソフトウェアの他のバージョンで使用するコマンドは、わずかに異なります。 この設定を設定する前に PIXドキュメンテーションを参照して下さい。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/15244/new_20.gif

設定

最初の設定は PIX Firewall の設定です。なぜならルータの設定はファイアウォールに関連して理解しておく必要があるためです。

ご使用のシスコ デバイスの、write terminal コマンドの出力データがあれば、これを使用して今後予想される障害と修正を表示できます。

このドキュメントでは、次の設定を使用します。

PIX ファイアウォール

!--- Sets the outside address of the PIX Firewall:

ip address outside 131.1.23.2 

!--- Sets the inside address of the PIX Firewall:

ip address inside 10.10.254.1

!--- Sets the global pool for hosts inside the firewall:

global (outside) 1 131.1.23.12-131.1.23.254

!--- Allows hosts in the 10.0.0.0 network to be
!--- translated through the PIX:

nat (inside) 1 10.0.0.0 

!--- Configures a static translation for an admin workstation 
!--- with local address 10.14.8.50:

static (inside,outside) 131.1.23.11 10.14.8.50

!--- Allows syslog packets to pass through the PIX from RTRA.
!--- You can use conduits OR access-lists to permit traffic.
!--- Conduits has been added to show the use of the command,
!--- however they are commented in the document, since the 
!--- recommendation is to use access-list.
!--- To the admin workstation (syslog server):
!--- Using conduit: 
!--- conduit permit udp host 131.1.23.11 eq 514 host 131.1.23.1 



!--- Using access-list:

Access-list 101 permit udp host 131.1.23.1 host 131.1.23.11 255.255.255.0 eq 514
Access-group 101 in interface outside

!--- Permits incoming mail connections to 131.1.23.10:

static (inside, outside) 131.1.23.10 10.10.254.3

!--- Using conduits
!--- conduit permit TCP host 131.1.23.10 eq smtp any
!--- Using Access-lists, we use access-list 101
!--- which is already applied to interface outside.

Access-list 101 permit tcp any host 131.1.23.10 eq smtp

!--- PIX needs static routes or the use of routing protocols
!--- to know about networks not directly connected.
!--- Add a route to network 10.14.8.x/24.

route inside 10.14.8.0 255.255.255.0 10.10.254.2

!--- Add a default route to the rest of the traffic 
!--- that goes to the internet.

Route outside 0.0.0.0 0.0.0.0 131.1.23.1

!--- Enables the Mail Guard feature 
!--- to accept only seven SMTP commands 
!--- HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT:
!--- (This can be turned off to permit ESMTP by negating with 
!--- the no fixup protocol smtp 25 command):

fixup protocol smtp 25

!--- Allows Telnet from the inside workstation at 10.14.8.50 
!--- into the inside interface of the PIX:

telnet 10.14.8.50

!--- Turns on logging:

logging on

!--- Turns on the logging facility 20:

logging facility 20

!--- Turns on logging level 7:

logging history 7

!--- Turns on the logging on the inside interface:

logging host inside 10.14.8.50

注: RTRA は外部シールド ルータです。 それは誘導不正侵入からの PIXファイアウォールを保護し、FTP/HTTPサーバを保護し、警報 システムとして機能する必要があります。 何者かが RTRA に侵入した場合は、ただちにシステム管理者に通知されなければなりません。

RTRA
no service tcp small-servers 

!--- Prevents some attacks against the router itself.

logging trap debugging

!--- Forces the router to send a message 
!--- to the syslog server for each and every
!--- event on the router. This includes packets denied 
!--- access through access lists and
!--- configuration changes. This acts as an early warning system to the system
!--- administrator that someone is trying to break in, or has broken in and is
!--- trying to create a "hole" in their firewall.

logging 131.1.23.11

!--- The router logs all events to this 
!--- host, which in this case is the 
!--- "outside" or "translated" address of the system 
!--- administrator's workstation.

enable secret xxxxxxxxxxx
!
interface Ethernet 0
 ip address 131.1.23.1 255.255.255.0
!
interface Serial 0
 ip unnumbered ethernet 0
 ip access-group 110 in 

!--- Shields the PIX Firewall and the HTTP/FTP 
!--- server from attacks and guards 
!--- against spoofing attacks.

!
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

!--- RTRA and the PIX Firewall. 
!--- This is to prevent spoofing attacks.

access-list 110 deny ip any host 131.1.23.2 log

!--- Prevents direct attacks against the 
!--- outside interface of the PIX Firewall and
!--- logs any attempts to connect to the  
!--- outside interface of the PIX to the syslog server.

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established 

!--- Permits packets which are part 
!--- of an established TCP session.

access-list 110 permit tcp any host 131.1.23.3 eq ftp 

!--- Allows FTP connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq ftp-data

!--- Allows ftp-data connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq www

!--- Allows HTTP connections into the FTP/HTTP server.

access-list 110 deny ip any host 131.1.23.3 log

!--- Disallows all other connections to 
!--- the FTP/HTTP server, and logs any attempt
!--- to connect this server to the syslog server.

access-list 110 permit ip any 131.1.23.0 0.0.0.255

!--- Permits other traffic destined to the 
!--- network between the PIX Firewall and RTRA.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 131.1.23.11

!--- Permits only the workstation of the administrator
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few 
!--- entries as possible.

注: RTRB はルータを保護する内部です。 ファイアウォールの最後の防衛線で、内部ネットワークへの入口です。

ご使用のシスコ デバイスの、show running-configuration コマンドの出力データがあれば、これを使用して今後予想される障害と修正を表示できます。今後予想される障害や修正の表示には、Output Interpreter がご利用になれます。

RTRB
logging trap debugging
logging 10.14.8.50

!--- Log all activity on this router to the 
!--- syslog server on the administrator's 
!--- workstation, including configuration changes.

!
interface Ethernet 0
 ip address 10.10.254.2 255.255.255.0
 no ip proxy-arp
 ip access-group 110 in

!--- Prevents inside and outside addresses 
!--- from mingling; guards against attacks 
!--- launched from the PIX Firewall or the 
!--- SMTP server as much as possible.

!
access-list 110 permit udp host 10.10.250.5 0.0.0.255

!--- Permits syslog messages destined 
!--- to the administrator's workstation.

access-list 110 deny ip host 10.10.254.1 any log

!--- Denies any other packets sourced 
!--- from the PIX Firewall.

access-list 110 permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp

!--- Permits SMTP mail connections from the 
!--- mail host to internal mail servers.

access-list 110 deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

!--- Denies all other traffic sourced 
!--- from the mail server.

access-list 110 deny ip 10.10.250.0 0.0.0.255 any

!--- Prevents spoofing of trusted addresses 
!--- on the internal network.

access-list 110 permit ip 10.10.254.0 0.0.0.255 10.10.250.0 0.255.255.255

!--- Permits all other traffic sourced from  
!--- the network between the PIX Firewall and RTRB.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 10.14.8.50

!--- Permits only the workstation of the administrator 
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few entries as possible.

!--- A static route or routing protocol must be utilized
!--- to make the router aware of network 10.14.8.x (which is 
!--- inside the corporate network). This is because 
!--- it is not a directly connected network. 

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

コンセプト

ファイアウォールの目的は望ましいトラフィックを同時に許可している間ネットワークに不正 な エントリを防ぐことです。 最も簡単なのは、まず侵入の目的には何が考えられるかを分析してから、潜在的な犯罪者がネットワークに入り込むのを困難にする方法を検討することです。 犯罪者は競争相手に大いに価値がある 機密情報を含む心でサーバがあったことこの資料に説明がある状況で、仮定して下さい。 このサーバの IP アドレスは、犯罪者が調べたところ、10.100.100.10 です。

すぐに、犯罪者は大きな問題に直面します。 サーバの IP アドレスはインターネットに接続される組織がネットワーク 10 宛先アドレスにパケットを転送しないのでインターネットに達することができないアドレスです。 このため犯罪者は、これがインターネット上で何のアドレスに変換されているかを見つけ出すか(優秀なシステム管理者ならこのアドレスをインターネットの上に変換されないようにします)、ネットワークに直接侵入して「ベースキャンプ」を乗っ取り、そこから機密データが保管されたサーバに侵入するかのどちらかの方法をとらざるを得なくなります。 犯罪者がサーバを直接攻撃する方法を見つけ出すことができない仮定し従ってとネットワークをネットワーク内からのサーバを攻撃するために攻撃し始めます。

犯罪者が直面する最初の障害は第 1 の「非武装地帯」(DMZ)で、RTRA と PIX Firewall の間にあります。 犯罪者は RTRA に割り込むように試みることができますが管理者の、および DMZ 自体から送信されるようであるブロックパケットへのワークステーションからの接続しか許可しないためにルータは設定されます。 犯罪者が RTRA に侵入できた場合でも、自分は PIX Firewall への攻撃が可能な位置にいることに気がつくだけです。ネットワーク「内」にいるわけではなく、機密データを持つホストに直接侵入することはできません。

監視されるべき可能性がである犯罪者はまた FTP/HTTPサーバに割り込むように試みる可能性があります。 このホストはそのよう不正侵入に対してできるだけセキュアであるはずです。 もし犯罪者がうまく FTP/HTTP サーバに侵入しても、機密データが保管されたホストに直接侵入できる位置にいるわけではありません。しかし、PIX Firewall を直接攻撃できる場所にいることになります。 いずれの場合にしても、犯罪者の行動はここにいたるまでいくつものポイントでログされているはずで、システム管理者は侵入者の存在が警報されています。

不正侵入者が外側の DMZ にうまく侵入すると、自分がいるのは PIX Firewall をより攻撃できる場所にいることがわかり、2つめ、つまり内側の DMZ が次の目標になります。 彼は PIXファイアウォールの攻撃のこの目標自体、かシステム アドミニストレータのワークステーションからのだけ Telnetセッションを再度受け入れるためにプログラムされる RTRB の攻撃に達することができます。 再度、内側の DMZ に割り込む彼の試みは PIXファイアウォールおよび RTRB 両方によって記録 されます、従ってシステム アドミニストレータは彼が敏感なサーバを直接攻撃できるポイントに攻撃者 gets の前に攻撃を停止警告があるおよびできるはずです。

不正侵入者は外側の DMZ を迂回し、メール ホストに侵入して内側 DMZ に入り込もうとすることも考えられます。 このホストは PIX Firewall によって保護されており、慎重なモニタリングと設定によって保護されているはずです。 これはファイアウォール全体で最も無防備なホストです。

概念は 1 つの「極度の強い」ウォールよりもむしろ防御の複数の層を提供することです。 一つ一つの層は連結して1 つの強力なファイアウォール構造をつくります。このファイアウォール構造は、承認したいトラフィックを許可する柔軟性があり、また多数のアラーム機能と早期警報システムを備えています。

ファイアウォールでの使用が推奨できないネットワーク プロトコル

一部のネットワーク プロトコルは本質的に不安全な性質があるため、非信頼 ネットワークから信頼 ネットワークへ、ファイアウォール介した運用をすることは適していません。 こうした不安全なプロトコルには、たとえば次のようなものがあります。

  • NFS

  • rlogin

  • rsh

  • あらゆる RPC ベースのプロトコル

PIX の新しい改訂版には RPC プロトコルのサポートが装備されました。 ただしシスコでは、RPCがきわめて不安全なためこの機能を使用しないことを推奨しています。 この機能は、きわめて特別な状況でだけ使用することを意図しています。

PIX 7.0 は RPC パケットを処理するのに Inspect RPC コマンドを使用します。 Inspect sunrpc コマンドは Sun RPC プロトコルのためのアプリケーション インスペクションを有効に するか、またはディセーブルにします。 Sun RPC サービスはシステムのあらゆるポートで動作できます。 クライアントがサーバの RPC サービスにアクセスするように試みるとき特定のサービスが実行するポート調べる必要があります。 順序ではこれを、クライアント クエリー よく知られたポート番号 111 のポートマッパ プロセスして下さい。 クライアントはサービスの RPC プログラム数を送信 し、gets はポート番号を支持します。 ここから先は、クライアント プログラムはその新しいポートに RPC クエリを送ります。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 15244