セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

サードパーティへのアクセスを許可する場合のネットワーク セキュリティの保護

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このサービス要求の過程において、シスコ エンジニアを、貴社のネットワークへアクセスさせる場合があります。 このようなアクセスを許可することにより、しばしば、サービス要求をより迅速に解決することができます。 このような場合、シスコは、許可を得た場合に貴社のネットワークにアクセス可能であり、許可を得た場合しかアクセスを行いません。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ベスト プラクティス

Cisco はネットワークのセキュリティを保護するのを助けるためにこれらのガイドラインにとき会社または組織の外のサポートエンジニアまたは人への対するアクセス権の付与従うことを推奨します。

  • もし可能なら、サポートエンジニアと情報を共有するために Cisco Unified MeetingPlace を使用して下さい。 Cisco は Cisco Unified MeetingPlace をこれらの理由により使用することを推奨します:

    • セキュア シェル(SSH)か Telnet より場合によってはセキュアである Cisco Unified MeetingPlace は Secure Socket Layer (SSL) プロトコルを使用します。

    • Cisco Unified MeetingPlace はまたは組織の外の会社だれでもにパスワードを提供するように要求しません。

      会社または組織の外部の人へのネットワーク アクセスを認める時はいつでも、提供するどのパスワードでもサード パーティがネットワークにアクセスを必要とする限りだけ有効である一時パスワードである必要があります。

    • 通常、Cisco Unified MeetingPlace はのでほとんどの企業 ファイアウォール割り当て発信 HTTPS アクセス ファイアウォール ポリシーを変更するように要求しません。

    詳細についてはアクセス Cisco Unified MeetingPlace

  • Cisco Unified MeetingPlace を使用できなかったら、そして別のアプリケーションによってサード パーティ アクセスを、SSH のような許可することを選択したらパスワードをです一度だけだけ一時および利用可能確認して下さい。 さらにサード パーティ アクセスがもはや必要ではなかった後、すぐにパスワードを変更するか、または無効にして下さい。 Cisco Unified MeetingPlace 以外アプリケーションを使用する場合、これらの手順およびガイドラインに従うことができます:

    • Cisco IOS ルータの一時アカウントを作成するために、このコマンドを使用して下さい:

      Router(config)#username tempaccount secret QWE!@#
      
    • PIX/ASA の一時アカウントを作成するために、このコマンドを使用して下さい:

      PIX(config)#username tempaccount password QWE!@#
      
    • 一時アカウントを削除するために、このコマンドを使用して下さい:

      Router (config)#no username tempaccount
      
    • ランダムに一時パスワードを生成して下さい。 一時パスワードはサポート サービスの特定のサービス 要求かプロバイダと関連していてはなりません。 たとえば、ciscocisco123、または ciscotac のようなパスワードを使用しないで下さい。

    • 決してあなた自身のユーザネームかパスワードを与えないで下さい。

    • インターネット上の Telnet を使用しないで下さい。 それはセキュアではないです。

  • サポートを必要とする Ciscoデバイスが Ciscoデバイスに SSH へのサポートエンジニアにファイアウォール ポリシーへの共用ファイアウォールおよび変更の後ろに必要となったらある場合、ポリシーの変更が問題に割り当てられるサポートエンジニアに特定であることを確認して下さい。 決してポリシー 例外をインターネット全体または必要よりより広い範囲のホストに開いたようにしないで下さい。

    • Cisco IOS ファイアウォールのファイアウォール ポリシーを修正するために、インターフェイスに直面するインターネットの下でインバウンドアクセスリストにこれらの行を追加して下さい:

      Router(config)#ip access-list ext inbound
      Router(config-ext-nacl)#1 permit tcp host 
          <IP address for TAC engineer> host <Cisco device address> eq 22
      

      この例では領域を節約するために、ルータ(構成 ext nacl)は 2 つの行で#設定 表示する。 ただし、インバウンドアクセスリストにこのコマンドを追加するとき、設定は 1 つの行で現われる必要があります。

    • Cisco PIX/ASA ファイアウォールのファイアウォール ポリシーを修正するために、インバウンドアクセス グループにこの行を追加して下さい:

      ASA(config)#access-list inbound line 1 permit tcp host 
          <IP address for TAC engineer> host <Cisco device address> eq 22
      

      この例では領域を節約するために、ASA(config)# 設定は 2 つの行で表示する。 ただし、インバウンドアクセス グループにこのコマンドを追加するとき、設定は 1 つの行で現われる必要があります。

    • Cisco IOS ルータの SSH アクセスを許可するために、access-class にこの行を追加して下さい:

      Router(config)#access-list 2 permit host <IP address for TAC engineer>
      Router(config)#line vty 0 4
      Router(config-line)#access-class 2
      
    • Cisco PIX/ASA の SSH アクセスを許可するために、この設定を追加して下さい:

      ASA(config)#ssh <IP address for TAC engineer> 255.255.255.255 outside
      		  

質問を約持ちなさいまたはこの資料に説明がある情報の追加支援を必要とする場合 Cisco Technical Assistance Center (TAC)に連絡して下さい。

この Webページは情報提供だけを目的としてい、基礎で保証か保証なしで「現状のまま」として提供されます。 上記の最良 の 方法は広範囲であるように意図されていませんが顧客の現在のセキュリティ プロシージャーを補足するために提案されます。 あらゆるセキュリティの管理方法の効果は各顧客の特定の状況に依存しています; そして顧客はネットワークのために最も適切なセキュリティ プロシージャーを判別するときすべての関連 要因を考慮するように勧められます。


関連情報


Document ID: 72884