セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA: コンソール ポートへの US Robotics モデムの接続

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、RJ-45 コンソール ポートを搭載した Cisco 適応型セキュリティ アプライアンス(ASA)のコンソール ポートに US Robotics モデムを取り付ける方法について説明します。 この手順は、他のモデム製品にも同様に適用できますが、相当する初期化ストリングについては、そのモデムの説明書を参照してください。

注: ルータやスイッチのように ASA の AUX ポートにモデムを接続することはできません。 AUX ポートは、ターミナル サーバなどのデバイスを対象としています。

注: プロテクトされていないモデムはコンソール ポートに接続しないでください。 コンソール ポートでは、キャリア検知が失われてもユーザをログ オフしないため、セキュリティ ホールが発生します。 これを回避するには、セキュア モデムを使用するか、もしくは timeout コマンドで指定された時間が経過するとユーザをログオフするコンソール タイムアウトの設定を ASA で使用します。 コンソール ポートにモデムを接続する場合の長所と短所の詳細については、このドキュメントの「コンソール ポートに関する問題」の項を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、ソフトウェア バージョン 7.0 以降が稼働する Cisco 5500 シリーズ ASA に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

実行されるタスク

  • モデムのコンソール接続性を設定します。 コンソール ポートにはリバース Telnet 機能がないため、ASA のコンソール ポートにモデムを接続する前に、モデムの初期化文字列(init string)を設定する必要があります。

  • ASA のコンソール ポートにモデムを接続します。

  • 着信コールを受け入れるように ASA を設定します。

これらのタスクは、このドキュメントの「手順」の項で説明しています。

手順

シスコ ASA のコンソール ポートに US Robotics モデムを接続するには、次の手順を実行します。

  1. PC にモデムを接続します。 この手順は、モデムにアクセスして初期化文字列を設定するために必要です。

    「Terminal」と記されている RJ-45-to-DB-9 アダプタを PC の COM ポートに差し込みます。 アダプタの RJ-45 側の端を、フラットサテン型のロール型 RJ-45--RJ-45 ケーブル(部品番号 CAB-500RJ=)に接続します。このケーブルは、コンソール接続用にすべてのシスコ ASA に付属しています。 また、このロール型ケーブルをモデムの DB-25 ポートに接続するには、「MODEM」と記されている RJ-45 to DB-25 アダプタ(部品番号 CAB-25AS-MMOD)も必要です。

    asa-us-robo-modem-1.gif

  2. モデムの電源を切り、DIP スイッチの 7 番を下側に設定し、再び電源を入れます。これによって工場出荷時のデフォルトに戻ります。 この後、モデムの電源を再び切ります。 DIP スイッチの設定については、この文書の「その他」の項を参照してください。

  3. PC からモデムへのリバース Telnet

    PC 上で HyperTerminal などのターミナル エミュレーション ソフトウェアを使用し、手順 1 で接続した COM ポートを経由して PC のモデムにアクセスします。 COM ポートを経由して PC のモデムに接続したら、初期化文字列を適用する必要があります(手順 4 参照)。 例については、『シスコの Access サーバと組み合わせて動作させるためのクライアント モデムの設定方法』の「HyperTerminal でのセッション例」を参照してください。

  4. 必要な初期化文字列の設定を NVRAM に書き込むために、次の初期化文字列を入力します。

    AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
    

    注: この文字列の 0 はゼロです。 初期化文字列の詳細については、この文書の「その他」の項を参照してください。

    注: モデムから OK という応答があります。 モデムから応答がない場合は、モデムのハードウェアやケーブルが正しく動作しているかどうかを確認してください。

  5. エコーと結果コードを無効にするために、次の初期化文字列を入力します。

    ATE0Q1&W
    
  6. DIP スイッチの 4 番と 8 番を下側に変更し、ほかは上側のままにします。 モデムの電源を入れ直します。

  7. ロール型 RJ-45 ケーブルを PC の RJ-45-to-DB-9 のアダプタからはずし、ASA のコンソール ポートに接続します。

    asa-us-robo-modem-2.gif

    注: 両端に RJ-45-to-DB-25 アダプタが付いたロール型 RJ-45-to-RJ-45 フラットサテン ケーブル(部品番号 CAB-25AS-MMOD)は、信号の組み合わせが正しくないので使用できません

  8. モデムの電源を投入します。

  9. セキュリティを確保するため、ASA の console timeoutenable password を設定する必要があります。

    
    !--- Configure console idle timeout for 10 minutes.
    
    ASA5510(config)#console timeout 10
    

    ASA に enable password がないと、着信接続はイネーブル モードに入れません。

    
    !--- In order to allow incoming calls to enter enable mode:
    
    ASA5510(config)#enable password asa123
    
  10. 電話回線がアクティブであり、機能していることを確認するには、アナログの電話を使用します。 その後、そのアナログ電話回線にモデムを接続します。

  11. ASA への EXEC モデム コールを他のデバイス(PC など)から発呼して、モデムの接続性をテストします。

    PC 上で HyperTerminal などのターミナル エミュレーション ソフトウェアを使用し、COM ポートのいずれかを経由して PC のモデムにアクセスします。 COM ポートを経由して PC のモデムに接続したら、ASA に対してダイヤルを開始します。 例については、『シスコの Access サーバと組み合わせて動作させるためのクライアント モデムの設定方法』の「HyperTerminal でのセッション例」を参照してください。

    注: コンソール ポートの回線でポイントツーポイント プロトコル(PPP)は実行されません。 したがって、この接続のために Microsoft Windows のダイヤルアップ ネットワーク(DUN)を使用してダイヤルすることはできません。

  12. 接続が確立されたら、ASA でプロンプトを表示するために Return を押します。

コンソール ポートに関する問題

ASA のコンソール ポートにモデムを接続する場合の長所は複数あります。 しかし、短所もかなりあります。

モデムをコンソール ポートに接続する場合の長所

  • パスワードをリモートから回復できる。 引き続き第三者が ASA の近くにいて電源をオフ/オンする必要がある場合もありますが、 その点を除けば、ASA の設置場所にいるのとまったく同じです。

  • モデムを非同期ポートのない ASA に接続する場合に便利な方法である。 設定や管理のために ASA にアクセスする必要がある場合に役立ちます。

モデムをコンソール ポートに接続する場合の短所

  • コンソール ポートは RS232 のモデム制御(Data Set Ready/Data Carrier Detect(DSR/DCD; データ セット レディ/データ キャリア検出)、Data Terminal Ready(DTR; データ端末レディ))をサポートしていない。 このため、exec セッションが終了(ログアウト)した際に、モデム接続は自動的には終了しません。 ユーザは、セッションを手動で切断する必要があります。

  • さらに深刻な問題で、モデム接続を解除しても EXEC セッションが自動的にはリセットされない。 これにより、以降のモデムへのコールで、パスワードを入力しなくてもコンソールにアクセスできてしまうというセキュリティ ホールが生じる可能性があります。 ASA 上で厳しい exec-timeout を設定すると、このセキュリティ ホールを小さくできます。 しかし、セキュリティが重要な場合は、パスワード プロンプト機能のあるモデムを使用してください。

  • 他の非同期回線とは異なり、コンソール ポートはハードウェア(Clear To Send/Ready To Send(CTS/RTS))フロー制御をサポートしていない。 フロー制御は使用しないことをお勧めします。 ただし、データ オーバーランが発生した場合は、ソフトウェア(XON/XOFF)フロー制御を有効にしても構いません。

  • コンソール ポートにはリバース Telnet 機能がない。 モデムに格納されている初期化文字列が失われた場合、修復のためにはモデムを ASA から物理的に取りはずし、別のデバイス(PC など)を接続して再初期化するしかありません。

  • コンソール ポートには対応する非同期インターフェイスがないため、コンソール ポートをダイヤルオンデマンド ルーティング用には使用できない。

その他

ディップ スイッチ

次の表では、US Robotics モデムの DIP スイッチの機能を一覧しています。

ON = 下、OFF = 上になります。

DIP スイッチ 説明
1 DTR を無効化
2 音声/数値による結果コード
3 結果コードの表示
4 コマンド モードでのローカル エコーの抑制
5 自動応答の抑制
6 CD 無効化
7 電源投入時および ATZ によりソフトウェアをデフォルトにリセット
8 AT コマンドの設定認識

初期化文字列

ここでの設定で入力した初期化文字列には次の特性があります。

AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
AT コマンド 説明
&&F0 工場出荷時のデフォルトに設定(フロー制御なし)
S0=1 最初のリングに対して自動応答
&&C1 Data Carrier Detect にリモート モデムからのキャリアの実際の状態を使用(推奨)
&&D2 DTR がオフになると、モデムの接続解除をトリガーし、OK の結果コードを送信し、DTR がオフの間は自動応答を無効にする (デフォルト)
&&R1 同期モードでは、CTS が常にオンになり、RTS は無視される
&&M4 ARQ/ノーマル モード
&&K0 データ圧縮を行わない
&&N6 最高リンク速度(DCE レート)は 9600 bps
&&W 設定を NVRAM に保存
&&Q1 同期接続モードと非同期のオフライン コマンド モードを選択

RJ-45/DB-9 ケーブルまたは RJ-45/DB-25 ケーブルのピン割り当て

asa-us-robo-modem-3.gif

RJ-45 ロール型(コンソール)ケーブルのピン配置

asa-us-robo-modem-4.gif

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 72313