セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA:Cisco セキュリティ アプライアンス経由の接続の確立とトラブルシューティング

2008 年 4 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 9 月 13 日) | 英語版 (2011 年 10 月 27 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
PIX を経由した接続性の動作
PIX を経由した接続性の設定
ARP ブロードキャスト トラフィックの許可
      許可される MAC アドレス
      ルータ モードで通過を許可されないトラフィック
接続性に関する問題のトラブルシューティング
access-list コマンドの構文
      PIX ソフトウェア リリース 5.0.x 以降
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

PIX ファイアウォールの初期の設定では、デフォルトのセキュリティ ポリシーが適用され、Inside から出ることはできますが、Outside から入ることはできません。これとは異なるセキュリティ ポリシーを適用する必要があるサイトの場合、Outside のユーザは PIX 経由で Web サーバに接続できます。

PIX ファイアウォールを経由して基本的な接続性を確立したら、ファイアウォールの設定を変更できます。 PIX ファイアウォールに追加する設定変更はすべて、サイトのセキュリティ ポリシーに準拠している必要があります。

トラブルシューティングに役立つさまざまな show コマンドの詳細については、「PIX 500 のパフォーマンスに関する問題の監視とトラブルシューティング」を参照してください。

セキュリティ アプライアンスの接続性のトラブルシューティングに関する詳細は、「PIX および ASA 経由の接続のトラブルシューティング」を参照してください。

前提条件

要件

このドキュメントは、PIX での一部の基本設定がすでに終了していることを前提としています。 PIX の初期設定の例については、次のドキュメントを参照してください。

使用するコンポーネント

このドキュメントの情報は、PIX Firewall ソフトウェア リリース 5.0.x 以降に基づいています。

注:以前のバージョンの PIX ソフトウェアでは、access-list コマンドの代わりに conduit コマンドを使用していました。 PIX ファイアウォール ソフトウェア リリース 5.0.x 以降では、どちらのコマンドも動作します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、「シスコ テクニカル ティップスの表記法」を参照してください。

PIX を経由した接続性の動作

このネットワークでは、ホスト A が Web サーバであり、10.2.1.5 という内部アドレスを持っています。 この Web サーバには、外部(変換された)アドレス 192.168.202.5 が割り当てられます。Web サーバにアクセスするには、インターネット ユーザは 192.168.202.5 を宛先とする必要があります。Web サーバの DNS エントリも、そのアドレスである必要があります。 インターネットから他の接続はできません。

23.bmp

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。 これらは RFC 1918 leavingcisco.com アドレスであり、ラボ環境で使用されたものです。

PIX を経由した接続性の設定

PIX 経由の接続性を設定するには、次の手順を実行します。

  1. 内部ホストがインターネットにアクセスする際に使用するグローバル プールを設定します。

    global (outside) 1 192.168.202.10-192.168.202.50 netmask 255.255.255.0
    
    
  2. グローバル 1 プールから選択するよう、内部アドレスを指定します。

    nat (inside) 1 0.0.0.0 0.0.0.0
    
    
  3. インターネット ユーザがアクセスする内部ホストに、スタティックな変換アドレスを割り当てます。

    static (inside,outside) 192.168.202.5 10.2.1.5 0 0
    
    
  4. access-list コマンドを使用して、PIX ファイアウォール経由で outside のユーザがアクセスできるようにします。 access-list コマンドでは、変換アドレスを常に使用します。

    access-list 101 permit tcp any host 192.168.202.5 eq www
      access-group 101 in interface outside
    
    

コマンド構文の詳細は、このドキュメントの「conduit および access-list コマンドの構文」のセクションを参照してください。

ARP ブロードキャスト トラフィックの許可

セキュリティ アプライアンスは、Inside インターフェイスと Outside インターフェイスで同じネットワークに接続します。 ファイアウォールはルーティング ホップではないので、透過ファイアウォールを既存のネットワークに簡単に導入できます。IP の再アドレッシングは必要ありません。IPv4 トラフィックは、アクセス リストなしで、高いセキュリティ インターフェイスから低いセキュリティ インターフェイスに、透過ファイアウォールを自動的に通過することを許可されます。 Address Resolution Protocol(ARP; アドレス解決プロトコル)は、アクセス リストなしで、両方向に透過ファイアウォールの通過を許可されます。 ARP トラフィックは、ARP インスペクションで制御できます。 低いセキュリティ インターフェイスから高いセキュリティ インターフェイスに移動するレイヤ 3 トラフィックの場合は、拡張アクセス リストが必要です。

注:透過モードのセキュリティ アプライアンスは、Cisco Discovery Protocol(CDP)パケットや IPv6 パケット、または 0x600 以上の有効な EtherType を持たないすべてのパケットを通しません。 たとえば、IS-IS パケットは通過できません。 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)は例外でサポートされます。

許可される MAC アドレス

次の宛先 MAC アドレスは、透過ファイアウォールの通過を許可されます。 このリストにない MAC アドレスはすべて廃棄されます。

  • FFFF.FFFF.FFFF に等しい TRUE ブロードキャスト宛先 MAC アドレス

  • 0100.5E00.0000〜0100.5EFE.FFFF の IPv4 マルチキャスト MAC アドレス

  • 3333.0000.0000〜3333.FFFF.FFFF の IPv6 マルチキャスト MAC アドレス

  • 0100.0CCC.CCCD に等しい BPDU マルチキャスト アドレス

  • 0900.0700.0000〜0900.07FF.FFFF の Appletalk マルチキャスト MAC アドレス

ルータ モードで通過を許可されないトラフィック

ルータ モードでは、あるタイプのトラフィックは、アクセス リストで許可されていたとしても、セキュリティ アプライアンスを通過できません。ただし、透過ファイアウォールは、拡張アクセス リスト(IP トラフィックの場合)または EtherType アクセス リスト(IP トラフィック以外の場合)を使用して、ほとんどすべてのトラフィックの通過を許可できます。

たとえば、透過ファイアウォールを通してルーティング プロトコルの隣接関係を確立できます。拡張アクセス リストに基づいて、Open Shortest Path First(OSPF)、Routing Information Protocol(RIP; ルーティング情報プロトコル)、Enhanced Interior Gateway Routing Protocol(EIGRP)、Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)の各トラフィックの通過を許可できます。 同様に、Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)や Virtual Router Redundancy Protocol(VRRP; 仮想ルータ冗長プロトコル)などのプロトコルは、セキュリティ アプライアンスを通過できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、MPLS など)は、EtherType アクセス リストを使用して、通過を許可されるように設定できます。

透過ファイアウォールで直接サポートされていない機能については、アップストリームおよびダウンストリームのルータが機能をサポートできるように、トラフィックの通過を許可できます。たとえば、拡張アクセス リストを使用すると、DHCP トラフィック(サポートされない Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル)リレー機能の代わりに)や、IP/TV によって作成されるもののようなマルチキャスト トラフィックを許可できます。

接続性に関する問題のトラブルシューティング

インターネット ユーザが Web サイトにアクセスできない場合は、次の手順に従ってください。

  1. 設定アドレスが正しく入力されていることを確認します。

    • 有効な外部アドレス

    • 正しい内部アドレス

    • 外部 DNS が保持する変換アドレス

  2. outside インターフェイスでエラーが発生していないかどうかを確認します。 Cisco セキュリティ アプライアンスは、インターフェイスの速度とデュプレックス モードを自動検出するように事前設定されています。 ただし、自動ネゴシエーション処理が失敗する可能性のある状況がいくつか存在します。 その結果、速度またはデュプレックス モードの不一致(およびパフォーマンスの問題)が発生します。 ミッション クリティカルなネットワーク インフラストラクチャの場合、Cisco はインターフェイスごとに速度とデュプレックス モードを手動でハードコーディングするので、エラーが発生する可能性はありません。 通常、このようなデバイスは移動することがないので、適切に設定してある場合は、変更する必要はありません。

    例:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex full
    asa(config-if)#speed 100
    asa(config-if)#exit
    
    

    状況によっては、速度とデュプレックス モードの設定をハードコーディングすると、エラーが発生する場合があります。 そのため、次の例に示すように、自動検出モードのデフォルト設定に、インターフェイスを設定する必要があります。

    例:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex auto
    asa(config-if)#speed auto
    asa(config-if)#exit
    
    

    詳細については、「PIX 500 のパフォーマンスに関する問題の監視とトラブルシューティング」の「速度とデュプレックス モードの設定」の項を参照してください。

  3. PIX またはヘッドエンド ルータのインターフェイスを通してトラフィックが送受信されない場合は、ARP の統計をクリアしてみてください。

    asa#clear arp
    
    
  4. show static コマンドを使用して、スタティック変換がイネーブルになっていることを確認します。

  5. バージョン 7.2(1) にアップグレードした後でスタティック マッピングが機能しない場合は、スタティック NAT 設定で、インターフェイスの IP アドレスの代わりに interface キーワードを使用します。

    例:

    static (inside,outside) tcp 192.168.202.2 80 10.2.1.5 1025 netmask 255.255.255.255 
    
    

    このシナリオでは、Outside の IP アドレスが、Web サーバのマッピングされる IP アドレスとして使用されます。 そのため、このスタティック マッピングは PIX/ASA バージョン 7.2(1) では動作しない場合があります。 この問題を解決するには、次の構文を使用します。

    static (inside,outside) tcp interface 80 10.2.1.5 1025 netmask 255.255.255.255 
    
    

  6. Web サーバのデフォルト ルートが PIX の Inside インターフェイスをポイントしていることを確認します。

  7. show xlate コマンドを使用して変換テーブルを調べ、変換が作成されたかどうかを確認します。

  8. 拒否が発生しているかどうかをログ ファイルで調べるには、logging buffer debug コマンドを使用します (変換アドレスを捜し、拒否の有無を調べます)。

  9. バージョン 6.2.2 以降でこのコマンドを使用する場合は、capture コマンドを使用します。

    access-list webtraffic permit tcp any host 192.168.202.5
    
    capture capture1 access-list webtraffic interface outside
    
    

    6.2.2 より前のバージョンを使用し、ネットワークがビジーでない場合は、debug packet コマンドでトラフィックをキャプチャできます。 このコマンドは、任意の外部ホストから Web サーバに向かうパケットをキャプチャします。

    debug packet outside dst 192.168.202.5 proto tcp dport 80 bot
    
    

    注:このコマンドからは、大量の出力が生成されます。 トラフィックの負荷が大きい場合は、ルータがハングまたはリロードする可能性があります。

  10. パケットが PIX に到達した場合は、PIX から Web サーバへのルートが正しいことを確認します (PIX 設定で route コマンドをチェックします)。

  11. プロキシ ARP が無効になっているかどうかを確認します。 PIX/ASA 7.x では show running-config sysopt コマンドを使用し、PIX 6.x では show sysopt を使用します。

    ここでは、プロキシ ARP を sysopt noproxyarp outside コマンドで無効にしています。

    ciscoasa#show running-config sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt noproxyarp outside
    sysopt connection permit-vpn
    

    プロキシ ARP を再び有効にするには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

    ciscoasa(config)#no sysopt noproxyarp outside
    
    

    ホストは、同じイーサネット ネットワーク上の別のデバイスに IP トラフィックを送信するときは、そのデバイスの MAC アドレスを知っている必要があります。 ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。 ホストは ARP 要求を送信し、その IP アドレスの所有者を尋ねます。 その IP アドレスを所有しているデバイスは、自分が IP アドレスの所有者であること伝えて、自分の MAC アドレスを通知します。

    プロキシ ARP は、背後にあるホストに代わって ARP 要求に応答することを、セキュリティ アプライアンスに許可します。 セキュリティ アプライアンスは、ホストのスタティック マッピング アドレスに対する ARP 要求に応答します。 セキュリティ アプライアンスは、自分の MAC アドレスで要求に応答した後、IP パケットを適切な Inside のホストに転送します。

    たとえば、このドキュメントのダイアグラムでは、Web サーバのグローバル IP アドレス 192.168.202.5 に対して ARP 要求が行われると、セキュリティ アプライアンスは自分の MAC アドレスで応答します。 この状況でプロキシ ARP が有効でない場合、セキュリティ アプライアンスの Outside ネットワークのホストは、アドレス 192.168.202.5 に対する ARP 要求を発行して Web サーバーに到達することはできません。 sysopt コマンドについての詳細は、コマンド リファレンスを参照してください。

  12. すべての設定が正しくてもユーザが Web サーバにアクセスできない場合は、Cisco テクニカル サポートでサービス リクエストをオープンしてください。

    注:弊社とのサポート契約がないお客様は、製品をご購入いただきました販売店経由でお問い合わせください。

access-list コマンドの構文

PIX ソフトウェア リリース 5.0.x 以降

access-list コマンドは、PIX ソフトウェア リリース 5.0 で導入されました。 この例は、access-list コマンドの構文を示しています。

access-list acl_name [deny | permit] protocol source source_netmask destination destination_netmask

例: access-list 101 permit tcp any host 192.168.202.5 eq www

アクセス リストを適用するには、次の構文を設定に含める必要があります。

access-group acl_name in interface interface_name

access-group コマンドは、アクセス リストをインターフェイスにバインドします。 アクセス リストは、インターフェイスに着信するトラフィックに適用されます。 permit オプションを access-list コマンド文に入力すると、PIX Firewall は引き続きパケットを処理します。 deny オプションを access-list コマンド文に入力すると、PIX Firewall はパケットを廃棄します。

注:特定のアクセス リスト名に入力する Access Control Entry(ACE; アクセス コントロール エントリ)は、ACE で行番号を指定しない限り、アクセス リストの最後に追加されます。

注:ACE の順序は重要です。 セキュリティ アプライアンスは、パケットを転送または廃棄するかどうかを決定するときに、エントリがリストされている順序で各 ACE に対してパケットをテストします。 一致するものが見つかると、それより後の ACE は検査されません。 たとえば、すべてのトラフィックを明示的に許可する ACE をアクセス リストの先頭に作成すると、その他の文は検査されません。

注:アクセス リストの最後には、暗黙の拒否があります。 したがって、明示的に許可しない限り、トラフィックは通過できません。 たとえば、特定のアドレスを除くすべてのユーザに、セキュリティ アプライアンス経由でのネットワーク アクセスを許可する場合は、特定のアドレスを拒否した後で、それ以外のすべてのユーザを許可する必要があります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 15245