セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA: Cisco セキュリティ アプライアンス経由の接続の確立とトラブルシューティング

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 4 月 23 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

PIXファイアウォールは最初に設定されるとき、内部の皆が出ることができる外部からのだれも入ることができないデフォルト の セキュリティ ポリシーがあり。 これとは異なるセキュリティ ポリシーを適用する必要があるサイトの場合、外部のユーザは PIX 経由で Web サーバに接続することができます。

PIX ファイアウォールを経由して基本的な接続性を確立したら、ファイアウォールの設定を変更できます。 PIX ファイアウォールに追加する設定変更はすべて、サイトのセキュリティ ポリシーに準拠している必要があります。

ASA 8.3 を参照して下さい: バージョン 8.3 および それ 以降で Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)の同一の構成に関する詳細については Ciscoセキュリティ アプライアンスを通して接続を確立し、解決して下さい

トラブルシューティングに役立つさまざまな show コマンドの詳細については、「PIX 500 のパフォーマンスに関する問題の監視とトラブルシューティング」を参照してください。

セキュリティ アプライアンスの接続性のトラブルシューティングに関する詳細は、「PIX および ASA 経由の接続のトラブルシューティング」を参照してください。

前提条件

要件

このドキュメントは、PIX での一部の基本設定がすでに終了していることを前提としています。 PIX の初期設定の例については、次のドキュメントを参照してください。

使用するコンポーネント

このドキュメントの情報は、PIX Firewall ソフトウェア リリース 5.0.x 以降に基づいています。

以前のバージョンの PIX ソフトウェアでは、access-list コマンドの代わりに conduit コマンドを使用していました。 PIX ファイアウォール ソフトウェア リリース 5.0.x 以降では、どちらのコマンドも動作します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

PIX による接続の仕組み

このネットワークでは、ホスト A が Web サーバであり、10.2.1.5 という内部アドレスを持っています。 この Web サーバには、外部(変換された)アドレス 192.168.202.5 が割り当てられます。 Web サーバにアクセスするには、インターネット ユーザは 192.168.202.5 を宛先とする必要があります。 Web サーバの DNS エントリも、そのアドレスである必要があります。 インターネットから他の接続はできません。

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/15245-23-01.gif

この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。 これらは、ラボ環境で使用された RFC 1918 のアドレスです。leavingcisco.com

PIX を経由した接続性の設定

PIX 経由の接続性を設定するには、次の手順を実行します。

  1. 内部ホストがインターネットにアクセスする際に使用するグローバル プールを設定します。

    global (outside) 1 192.168.202.10-192.168.202.50 netmask 255.255.255.0
    
  2. グローバル 1 プールから選択するよう、内部アドレスをダイレクトします。

    nat (inside) 1 0.0.0.0 0.0.0.0
    
  3. インターネット ユーザがアクセスする内部ホストに、スタティックな変換アドレスを割り当てます。

    static (inside,outside) 192.168.202.5 10.2.1.5 0 0
    
  4. access-list コマンドを使用して、PIX ファイアウォール経由で outside のユーザがアクセスできるようにします。 access-list コマンドでは、変換アドレスを常に使用します。

    access-list 101 permit tcp any host 192.168.202.5 eq www
      access-group 101 in interface outside
    

コマンド構文の詳細は、このドキュメントの「conduit および access-list コマンドの構文」のセクションを参照してください。

ARP ブロードキャスト トラフィックの許可

セキュリティ アプライアンスは、Inside インターフェイスと Outside インターフェイスで同じネットワークに接続します。 ファイアウォールはルーティング ホップではないので、透過型ファイアウォールを既存のネットワークに簡単に導入できます。 IP の再アドレッシングは必要ありません。 IPv4 トラフィックは、アクセス リストなしで、高いセキュリティ インターフェイスから低いセキュリティ インターフェイスに、透過ファイアウォールを自動的に通過することを許可されます。 Address Resolution Protocol(ARP; アドレス解決プロトコル)は、アクセス リストなしで、両方向に透過ファイアウォールの通過を許可されます。 ARP トラフィックは、ARP インスペクションによって制御できます。 低いセキュリティ インターフェイスから高いセキュリティ インターフェイスに移動するレイヤ 3 トラフィックの場合は、拡張アクセス リストが必要です。

透過モードのセキュリティ アプライアンスは、Cisco Discovery Protocol(CDP)パケットや IPv6 パケット、または 0x600 以上の有効な EtherType を持たないすべてのパケットを通しません。 たとえば、IS-IS パケットは通過できません。 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)は例外でサポートされます。

許可された MAC アドレス

次の宛先 MAC アドレスは、透過なファイアウォールを通過することが許可されています。 このリストにない MAC アドレスはすべて廃棄されます。

  • FFFF.FFFF.FFFF に等しい TRUE ブロードキャスト宛先 MAC アドレス

  • 0100.5E00.0000 ~ 0100.5EFE.FFFF の IPv4 マルチキャスト MAC アドレス

  • 3333.0000.0000 ~ 3333.FFFF.FFFF の IPv6 マルチキャスト MAC アドレス

  • 0100.0CCC.CCCD に等しい BPDU マルチキャスト アドレス

  • 0900.0700.0000~0900.07FF.FFFF の Appletalk マルチキャスト MAC アドレス

ルータ モードで通過を許可されないトラフィック

ルータ モードでは、あるタイプのトラフィックは、アクセス リストで許可されていたとしても、セキュリティ アプライアンスを通過できません。 ただし、透過ファイアウォールは、拡張アクセス リスト(IP トラフィックの場合)または EtherType アクセス リスト(IP トラフィック以外の場合)を使用して、ほとんどすべてのトラフィックの通過を許可できます。

たとえば、透過ファイアウォールを通してルーティング プロトコルの隣接関係を確立できます。 拡張アクセス リストに基づいて、Open Shortest Path First(OSPF)、Routing Information Protocol(RIP; ルーティング情報プロトコル)、Enhanced Interior Gateway Routing Protocol(EIGRP)、Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)の各トラフィックの通過を許可できます。 同様に、Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)や Virtual Router Redundancy Protocol(VRRP; 仮想ルータ冗長プロトコル)などのプロトコルは、セキュリティ アプライアンスを通過できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、MPLS など)は、EtherType アクセス リストを使用して、通過を許可されるように設定できます。

透過型ファイアウォール上で直接サポートされない機能の場合、上流および下流のルータによって機能がサポートされるように、トラフィックの通過を許可することができます。 たとえば、拡張アクセス リストを使用すると、DHCP トラフィック(サポートされない Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル)リレー機能の代わりに)や、IP/TV によって作成されるもののようなマルチキャスト トラフィックを許可できます。

接続性に関する問題のトラブルシューティング

インターネット ユーザが Web サイトにアクセスできない場合は、次の手順に従ってください。

  1. 設定アドレスが正しく入力されていることを確認します。

    • 有効な外部アドレス

    • 正しい内部アドレス

    • 外部 DNS が保持する変換アドレス

  2. outside インターフェイスでエラーが発生していないかどうかを確認します。 Cisco セキュリティ アプライアンスは、インターフェイスの速度とデュプレックス モードを自動検出するように事前設定されています。 ただし、自動ネゴシエーション処理が失敗する可能性のある状況がいくつか存在します。 その結果、速度またはデュプレックス モードの不一致(およびパフォーマンスの問題)が発生します。 ミッション クリティカルなネットワーク インフラストラクチャの場合、シスコがインターフェイスごとに速度とデュプレックス モードを手動でハードコーディングするため、エラーが発生する可能性はありません。 通常、このようなデバイスは移動することがないため、適切に設定してある場合は、変更する必要はありません。

    例:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex full
    asa(config-if)#speed 100
    asa(config-if)#exit
    

    状況によっては、速度とデュプレックス モードの設定をハードコーディングすると、エラーが発生する場合があります。 そのため、次の例に示すように、自動検出モードのデフォルト設定に、インターフェイスを設定する必要があります。

    例:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex auto
    asa(config-if)#speed auto
    asa(config-if)#exit
    

    詳細については、「PIX 500 のパフォーマンスに関する問題の監視とトラブルシューティング」の「速度とデュプレックス モードの設定」の項を参照してください。

  3. PIX またはヘッドエンド ルータのインターフェイスを通してトラフィックが送受信されない場合は、ARP の統計をクリアしてみてください。

    asa#clear arp
    
  4. show static コマンドを使用して、スタティック変換がイネーブルになっていることを確認します。

  5. バージョン 7.2(1) にアップグレードした後でスタティック マッピングが機能しない場合は、スタティック NAT 設定で、インターフェイスの IP アドレスの代わりに interface キーワードを使用します。

    例:

    static (inside,outside) tcp 192.168.202.2 80 10.2.1.5 1025 netmask 255.255.255.255 
    

    このシナリオでは、Outside の IP アドレスが、Web サーバのマッピングされる IP アドレスとして使用されます。 そのため、このスタティック マッピングは PIX/ASA バージョン 7.2(1) では動作しない場合があります。 この問題を解決するには、次の構文を使用します。

    static (inside,outside) tcp interface 80 10.2.1.5 1025 netmask 255.255.255.255 
    
  6. Web サーバのデフォルト ルートが PIX の Inside インターフェイスをポイントしていることを確認します。

  7. show xlate コマンドを使用して変換テーブルを調べ、変換が作成されたかどうかを確認します。

  8. 拒否が発生しているかどうかをログ ファイルで調べるには、logging buffer debug コマンドを使用します (変換アドレスを捜し、拒否の有無を調べます)。

  9. バージョン 6.2.2 以降でこのコマンドを使用する場合は、capture コマンドを使用します。

    access-list webtraffic permit tcp any host 192.168.202.5
    
    capture capture1 access-list webtraffic interface outside
    

    6.2.2 より前のバージョンを使用し、ネットワークがビジーでない場合は、debug packet コマンドでトラフィックをキャプチャできます。 このコマンドは、任意の外部ホストから Web サーバに向かうパケットをキャプチャします。

    debug packet outside dst 192.168.202.5 proto tcp dport 80 bot
    

    このコマンドからは、大量の出力が生成されます。 トラフィックの負荷が大きい場合は、ルータがハングまたはリロードする可能性があります。

  10. パケットが PIX に到達した場合は、PIX から Web サーバへのルートが正しいことを確認します (PIX 設定で route コマンドをチェックします)

  11. プロキシ ARP が無効になっているかどうかを確認します。 PIX/ASA 7.x では show running-config sysopt コマンドを使用し、PIX 6.x では show sysopt を使用します。

    ここでは、プロキシ ARP を sysopt noproxyarp outside コマンドで無効にしています。

    ciscoasa#show running-config sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt noproxyarp outside
    sysopt connection permit-vpn

    プロキシ ARP を再び有効にするには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

    ciscoasa(config)#no sysopt noproxyarp outside
    

    ホストは、同じイーサネット ネットワーク上の別のデバイスに IP トラフィックを送信するときは、そのデバイスの MAC アドレスを知っている必要があります。 ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。 ホストは ARP 要求を送信し、その IP アドレスの所有者を尋ねます。 IP アドレスを所有するデバイスが応答し、「I own that IP address; here is my MAC address」というメッセージを返します。

    プロキシ ARP は、背後にあるホストに代わって ARP 要求に応答することを、セキュリティ アプライアンスに許可します。 セキュリティ アプライアンスは、ホストのスタティック マッピング アドレスに対する ARP 要求に応答します。 セキュリティ アプライアンスは、自分の MAC アドレスで要求に応答した後、IP パケットを適切な Inside のホストに転送します。

    たとえば、このドキュメントのダイアグラムでは、Web サーバのグローバル IP アドレス 192.168.202.5 に対して ARP 要求が行われると、セキュリティ アプライアンスは自分の MAC アドレスで応答します。 この状況でプロキシ ARP が有効でない場合、セキュリティ アプライアンスの Outside ネットワークのホストは、アドレス 192.168.202.5 に対する ARP 要求を発行して Web サーバーに到達することはできません。 sysopt コマンドについての詳細は、コマンド リファレンスを参照してください。

  12. すべての設定が正しくてもユーザが Web サーバにアクセスできない場合は、Cisco テクニカル サポート(英語)でサービス リクエストをオープンしてください。

Error Message - %PIX|ASA-4-407001:

少数のホストはインターネットおよびエラーメッセージに接続することが- %PIX|ASA-4-407001 できません: Deny traffic for local-host interface_name: inside_address は syslog で、数によって超過されるエラーメッセージのライセンス制限見られます。 このエラーはどうすれば解決しますか。

このエラーメッセージはユーザの数が使用されるライセンスのユーザ制限を超過するとき見られます。 このエラーを解決するために 50 才、100 才または要求に応じて無制限 の ユーザ ライセンスのどちらである場合もある高頻度のユーザにライセンスをアップグレードして下さい。

access-list コマンドの構文

PIX ソフトウェア リリース 5.0.x 以降

access-list コマンドは、PIX ソフトウェア リリース 5.0 で導入されました。 この例は、access-list コマンドの構文を示しています。

access-list acl_name [拒否 | 割り当て] protocol source source_netmask destination destination_netmask

例: access-list 101 permit tcp any host 192.168.202.5 eq www

アクセス リストを適用するには、次の構文を設定に含める必要があります。

access-group acl_name in interface interface_name

access-group コマンドは、アクセス リストをインターフェイスにバインドします。 アクセス リストは、インターフェイスに着信するトラフィックに適用されます。 permit オプションを access-list コマンド文に入力すると、PIX Firewall は引き続きパケットを処理します。 deny オプションを access-list コマンド文に入力すると、PIX Firewall はパケットを廃棄します。

特定のアクセス リスト名に入力する Access Control Entry(ACE; アクセス コントロール エントリ)は、ACE で行番号を指定しない限り、アクセス リストの最後に追加されます。

ACE の順序は重要です。 セキュリティ アプライアンスは、パケットを転送または廃棄するかどうかを決定するときに、エントリがリストされている順序で各 ACE に対してパケットをテストします。 一致するものが見つかると、それより後の ACE は検査されません。 たとえば、すべてのトラフィックを明示的に許可する ACE をアクセス リストの先頭に作成すると、その他の文は検査されません。

アクセス リストの最後には、暗黙の拒否があります。 したがって、明示的に許可しない限り、トラフィックは通過できません。 たとえば、特定のアドレスを除くすべてのユーザに、セキュリティ アプライアンス経由でのネットワーク アクセスを許可する場合は、特定のアドレスを拒否した後で、それ以外のすべてのユーザを許可する必要があります。


関連情報


Document ID: 15245