セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA:透過型ファイアウォールの設定例

2008 年 6 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
透過型ファイアウォール
      ガイドライン
      許可された MAC アドレス
      サポートされていない機能
設定
      ネットワーク ダイアグラム
      設定例
さまざまなシナリオにおける透過型ファイアウォールを通過するデータ
      Inside ユーザの Outside 電子メール サーバへのアクセス
      Inside ユーザによる NAT を使用した Web サーバへのアクセス
      Inside ユーザによる Inside Web サーバへのアクセス
      Outside ユーザによる Inside ネットワーク上の Web サーバへのアクセス
      Outside ユーザによる Inside ホストへのアクセスの試行
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

従来、ファイアウォールはルーテッド ホップであり、分割されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして動作するものです。これに対し、透過型ファイアウォールは、「bump-in-the-wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。セキュリティ アプライアンスによって、その Inside ポートおよび Outside ポート上に同じネットワークが接続されます。ファイアウォールがルーテッド ホップではないため、透過型ファイアウォールは既存のネットワークへ簡単に導入できます。IP を再アドレッシングする必要はありません。

トラブルシューティングを行うための複雑なルーティング パターンが存在せず、NAT 設定も存在しないため、メンテナンスは簡易化されます。

透過モードはブリッジとして動作しますが、拡張アクセス リストを使用して明示的に許可しない限り、IP トラフィックなどのレイヤ 3 トラフィックはセキュリティ アプライアンスを通過できません。アクセス リストを使用せずに透過型ファイウォールの通過を許可されている唯一のトラフィックは、ARP トラフィックです。ARP トラフィックは、ARP インスペクションによって制御できます。

ルーテッド モードでは、アクセス リスト内で許可した場合でも、一部のタイプのトラフィックはセキュリティ アプライアンスを通過できません。これに代わる方法として、拡張アクセス リスト(IP トラフィック用)または EtherType アクセス リスト(非 IP トラフィック用)を使用することで、透過型ファイアウォールによるトラフィックの通過の許可が可能になります。

たとえば、透過型ファイアウォールを通過するルーティング プロトコルの隣接関係を確立できます。拡張アクセス リストに基づいて、VPN(IPSec)、OSPF、RIP、EIGRP、または BGP トラフィックの通過を許可できます。同様に、HSRP または VRRP などのプロトコルは、セキュリティ アプライアンスを通過できます。

非 IP トラフィック(たとえば、AppleTalk、IPX、BPDU、および MPLS)を EtherType アクセス リストを使用して通過するように設定できます。

透過型ファイアウォール上で直接サポートされない機能の場合、上流および下流のルータによって機能がサポートされるように、トラフィックの通過を許可することができます。たとえば、拡張アクセス リストを使用すると、(サポートされない DHCP リレー機能ではなく)DHCP トラフィックまたは IP/TV によって作成されるようなマルチキャスト トラフィックを許可できます。

セキュリティ アプライアンスが透過モードで実行されている場合、パケットの発信インターフェイスはルート ルックアップではなく MAC アドレスのルックアップによって判断されます。route 設定は可能ですが、これらはセキュリティ アプライアンスから発信されたトラフィックにだけ適用されます。たとえば、syslog サーバがリモート ネットワークに置かれている場合、セキュリティ アプライアンスがそのサブネットに到達できるように、スタティック ルートを使用する必要があります。

デフォルトのルーテッド ファイアウォール モードまたは透過型ファイアウォール モードで稼働するように、適応型セキュリティ アプライアンスを設定できます。多くのコマンドが両方のモードではサポートされないため、モードを変更すると適応型セキュリティ アプライアンスによって設定がクリアされます。すでにデータが入力された設定が用意されている場合、モードを変更する前に必ずその設定をバックアップしてください。新しい設定を作成する際に、このバックアップ設定を参照用に使用できます。

マルチ コンテキスト モードの場合、すべてのコンテキストに 1 つのファイアウォール モードだけを使用できます。モードはシステム実行スペースで設定する必要があります。マルチ コンテキスト モードの場合は、システム設定が消去され、どのコンテキストも削除されます。誤ったモード用に作成された既存の設定を含むコンテキストを再度追加する場合、コンテキスト設定は正しく動作しません。

注:必ず正しいモード用のコンテキスト設定を作成してから、再追加を行ってください。そうしない場合は、新しい設定用の新しいパスを使用して新しいコンテキストを追加します。

注:firewall transparent コマンドを使用して、モードを変更するセキュリティ アプライアンスにテキスト設定をダウンロードする場合、設定の最上部にコマンドを配置するようにします。コマンドの実行と同時に適応型セキュリティ アプライアンスによってモードが変更されて、ダウンロードした設定の読み込みが続行されます。設定の後の方でこのコマンドが発行される場合、適応型セキュリティ アプライアンスによって、設定内のそれよりも前のすべての行がクリアされます。

透過型ファイウォールでマルチ コンテキスト モードを設定するには、『マルチ モード、Outside アクセスを使用した透過型ファイアウォールpopup_icon.gif』を参照してください。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 7.x 以降がインストールされた ASA

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、次のバージョンのハードウェアとソフトウェアにも使用できます。

  • PIX セキュリティ アプライアンス 7.x 以降

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

透過型ファイアウォール

ガイドライン

透過型ファイアウォール ネットワークを計画する場合には、次のガイドラインに従ってください。

  • 管理 IP アドレスが必要です。マルチ コンテキスト モードの場合は、各コンテキストに IP アドレスが必要です。

    各インターフェイスに IP アドレスが必要なルーテッド モードとは異なり、透過型ファイアウォールにはデバイス全体に割り当てられた IP アドレスがあります。セキュリティ アプライアンスでは、この IP アドレスをシステム メッセージまたは AAA 通信などのセキュリティ アプライアンスから発信されるパケットの送信元アドレスとして使用します。

    管理 IP アドレスは接続されたネットワークと同じサブネット上に配置される必要があります。サブネットをホスト サブネット(255.255.255.255)に設定することはできません。

  • 透過型セキュリティ アプライアンスでは、Inside インターフェイスと Outside インターフェイスだけが使用されます。プラットフォームに専用管理インターフェイスが備わっている場合、管理トラフィック専用の管理インターフェイスかサブインターフェイスを設定することもできます。

    シングルモードでは、セキュリティ アプライアンスにインターフェイスが 2 つより多く備わっていた場合でも、使用できるのは 2 つのデータ インターフェイス(および利用できる場合は専用管理インターフェイス)だけです。

  • 直接接続された各ネットワークは、同じサブネット上にある必要があります。

  • セキュリティ アプライアンスの管理 IP アドレスを、接続されたデバイスのデフォルト ゲートウェイとして指定しないでください。デバイスでは、セキュリティ アプライアンスのもう一方の側で、ルータをデフォルト ゲートウェイとして指定する必要があります。

  • マルチ コンテキスト モードの場合、各コンテキストでは異なるインターフェイスを使用する必要があります。コンテキスト全体でインターフェイスを共有することはできません。

  • マルチ コンテキスト モードの場合、一般的に各コンテキストでは異なるサブネットが使用されます。オーバーラップするサブネットを使用できますが、ルーティングの観点からは、この実現にはネットワーク トポロジにルータおよび NAT の設定が必要です。

  • IP トラフィックなどのレイヤ 3 トラフィックによるセキュリティ アプライアンスの通過を許可するには、拡張アクセス リストを使用する必要があります。

    オプションとして、非 IP トラフィックの通過を許可するには、EtherType アクセス リストを使用することもできます。

許可された MAC アドレス

次の宛先 MAC アドレスは、透過型ファイアウォールの通過を許可されます。このリストに含まれていない MAC アドレスは廃棄されます。

  • FFFF.FFFF.FFFF に等しい TRUE ブロードキャスト宛先 MAC アドレス

  • 0100.5E00.0000 〜 0100.5EFE.FFFF の IPv4 マルチキャスト MAC アドレス

  • 3333.0000.0000 〜 3333.FFFF.FFFF の IPv6 マルチキャスト MAC アドレス

  • 0100.0CCC.CCCD に等しい BPDU マルチキャスト アドレス

  • 0900.0700.0000 〜 0900.07FF.FFFF の AppleTalk マルチキャスト MAC アドレス

サポートされていない機能

次の機能は、透過モードではサポートされていません。

  • NAT/PAT

    NAT は上流のルータで実行されます。

  • ダイナミック ルーティング プロトコル(RIP、EIGRP、OSPF など)

    セキュリティ アプライアンスで発信されたトラフィックのスタティック ルートを追加できます。拡張アクセス リストを使用して、ダイナミック ルーティング プロトコルによるセキュリティ アプライアンスの通過を許可することもできます。

  • IPv6

  • DHCP リレー

    透過型ファイアウォールは DHCP サーバとして動作できますが、DHCP リレー コマンドはサポートされません。拡張アクセス リストを使用して DHCP トラフィックの通過を許可できるため、DHCP リレーは必要ありません。

  • QoS(Quality of Service)

  • マルチキャスト

    拡張アクセス リスト内で許可すると、マルチキャスト トラフィックによるセキュリティ アプライアンスの通過を許可できます。透過型ファイアウォールでは、高セキュリティ ゾーンから低セキュリティ ゾーンさらには低セキュリティ ゾーンから高セキュリティ ゾーンへのマルチキャスト トラフィックの通過にアクセス リストが必要になります。通常のファイアウォールの場合、高セキュリティ ゾーンから低セキュリティ ゾーンへの要求はありません。詳細は、『ファイアウォール サービス モジュール透過型ファイウォールの設定例』の「通過するトラフィック」セクションを参照してください。

  • 通過するトラフィックの VPN 終端

    透過型ファイアウォールでは、管理接続専用のサイト間 VPN トンネルがサポートされています。セキュリティ アプライアンスを通過するトラフィックの VPN 接続は終端されません。拡張アクセス リストを使用してセキュリティ アプライアンスを通過する VPN トラフィックを許可できますが、非管理接続は終端されません。

注:透過モードのセキュリティ アプライアンスでは、CDP パケットまたは 0x600 以上の有効な EtherType を含まないパケットは受け渡されません。たとえば、IS-IS パケットを受け渡すことはできません。サポートされている BPDU の場合は例外となります。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供しています。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

次のネットワーク ダイアグラムは、Outside デバイスが Inside デバイスと同じサブネットにある一般的な透過型ファイアウォール ネットワークを示しています。Inside ルータおよびホストは、Outside ルータに直接接続されているように表示されています。

Transparent-firewall-1.gif

設定例

ASA 8.x
ciscoasa#show running-config 
: Saved
:
ASA Version 8.0(2)
!

!--- ファイアウォール モードを透過モードに設定するには、次のコマンドを実行します。

firewall transparent
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
!
interface Ethernet0/1
 nameif inside
 security-level 100
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500


!--- 管理用 IP アドレス。
!---  この IP アドレスをデフォルト ゲートウェイとして使用することは避けてください。
!---  セキュリティ アプライアンスでは、このアドレスを
!---  システム メッセージや AAA サーバとの通信などのセキュリティ アプライアンで 
!---  発信されたトラフィックの送信元アドレスとして使用します。
!---  リモート管理アクセスにこのアドレスを使用することもできます。


ip address 192.168.1.1 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1



!--- 出力を省略



service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
ciscoasa(config)#

さまざまなシナリオにおける透過型ファイアウォールを通過するデータ

Inside ユーザの Outside 電子メール サーバへのアクセス

Inside ネットワーク上のユーザがインターネット(Outside)に配置された電子メール サーバへアクセスします。セキュリティ アプライアンスによってパケットが受信され、必要な場合は送信元 MAC アドレスが MAC アドレス テーブルに追加されます。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、または AAA)の条件に従ってパケットが許可されていることが確認されます。

注:マルチ コンテキスト モードの場合、一意のインターフェイスに従って、まずセキュリティ アプライアンスによってパケットが分類されます。

セキュリティ アプライアンスによってセッションが確立したことが記録されます。宛先 MAC アドレスがそのテーブル内に存在する場合、セキュリティ アプライアンスによってパケットが Outside インターフェイスから転送されます。宛先 MAC アドレスは、上流のルータ 192.168.1.2 の宛先 MAC アドレスです。宛先 MAC アドレスがセキュリティ アプライアンス テーブル内に存在しない場合、ARP 要求と PING の送信時にセキュリティ アプライアンスによって MAC アドレスの検索が試行されます。最初のパケットは廃棄されます。

電子メール サーバが要求に応答します。セッションがすでに確立されているため、パケットによって新しい接続に関連付けられている多くのルックアップがバイパスされます。セキュリティ アプライアンスによってパケットが Inside ユーザに転送されます。

Inside ユーザによる NAT を使用した Web サーバへのアクセス

インターネット ルータで NAT を有効にすると、インターネット ルータを通過するパケットのフローがわずかに変わります。

Inside ネットワーク上のユーザがインターネット(Outside)に配置された Web サーバへアクセスします。セキュリティ アプライアンスによってパケットが受信され、必要な場合は送信元 MAC アドレスが MAC アドレス テーブルに追加されます。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、または AAA)の条件に従ってパケットが許可されていることが確認されます。

注:マルチ コンテキスト モードの場合、一意のインターフェイスに従って、まずセキュリティ アプライアンスによってパケットが分類されます。

インターネット ルータは、Host A のリアル アドレス(192.168.1.5)を、インターネット ルータのマッピングされたアドレス(172.16.1.1)に変換します。マッピングされたアドレスは、Outside インターフェイスと同じネットワーク上には存在しないため、セキュリティ アプライアンスをポイントするマッピングされたネットワークへのスタティック ルートが上流のルータに含まれていることを確認してください。

セキュリティ アプライアンスによってセッションが確立したことが記録され、Outside インターフェイスからパケットが転送されます。宛先 MAC アドレスがそのテーブル内に存在する場合、セキュリティ アプライアンスによってパケットが Outside インターフェイスから転送されます。宛先 MAC アドレスは、上流のルータ 172.16.1.1 の宛先 MAC アドレスです。宛先 MAC アドレスがセキュリティ アプライアンス テーブル内に存在しない場合、ARP 要求と PING の送信時にセキュリティ アプライアンスによって MAC アドレスの検索が試行されます。最初のパケットは廃棄されます。

Web サーバが要求に応答します。セッションがすでに確立されているため、パケットによって新しい接続に関連付けられている多くのルックアップがバイパスされます。セキュリティ アプライアンスでは、マッピングされたアドレスがリアル アドレスである 192.168.1.5 へ変換される際に NAT が実行されます。

Inside ユーザによる Inside Web サーバへのアクセス

Host A が Inside Web サーバ(10.1.1.1)にアクセスしようとすると、Host A(192.168.1.5)によって、Inside から Outside への ASA を介して、(デフォルト ゲートウェイであるため)インターネット ルータへ要求パケットが送信されます。次に、パケットは ASA(Outside から Inside)と内部ルータを介して、Web サーバ(10.1.1.1)へリダイレクトされます。

Transparent-firewall-1.gif

注:ASA に Outside から Inside へのトラフィックを許可するアクセス リストが含まれている場合にだけ、要求パケットは Web サーバへ戻ります。

これを解決するには、Host A(192.168.1.5)のデフォルト ゲートウェイをインターネット ルータ(192.168.1.2)ではなく、内部ルータ(192.168.1.3)へ変更します。これによって、Outside ゲートウェイに送信される不必要なトラフィックが回避され、Outside ルータ(インターネット ルータ)上での発生がリダイレクトされます。また、逆方向、つまり内部ルータの Inside に存在する Web サーバまたは任意のホスト(10.1.1.0/24)がホスト A(192.168.1.5)にアクセスしようとする場合も解決されます。

Outside ユーザによる Inside ネットワーク上の Web サーバへのアクセス

次の手順では、データがセキュリティ アプライアンスをどのように通過するのかを説明しています。

Outside ネットワーク上のユーザが、Inside Web サーバに Web ページを要求します。セキュリティ アプライアンスによってパケットが受信され、必要な場合は送信元 MAC アドレスが MAC アドレス テーブルに追加されます。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、または AAA)の条件に従ってパケットが許可されていることが確認されます。

注:マルチ コンテキスト モードの場合、一意のインターフェイスに従って、まずセキュリティ アプライアンスによってパケットが分類されます。

Outside ユーザが内部 Web サーバへの有効なアクセス権を持っている場合のみ、セキュリティ アプライアンスによってセッションが確立したことが記録されます。アクセス リストは、Outside ユーザによる Web サーバへのアクセスを許可するように設定する必要があります。

宛先 MAC アドレスがそのテーブル内に存在する場合、セキュリティ アプライアンスによってパケットが Inside インターフェイスから転送されます。宛先 MAC アドレスは、下流のルータ 192.168.1.3 の宛先 MAC アドレスです。

宛先 MAC アドレスがセキュリティ アプライアンス テーブル内に存在しない場合、ARP 要求と PING の送信時にセキュリティ アプライアンスによって MAC アドレスの検索が試行されます。最初のパケットは廃棄されます。

Web サーバが要求に応答します。セッションがすでに確立されているため、パケットによって新しい接続に関連付けられている多くのルックアップがバイパスされます。セキュリティ アプライアンスによってパケットが Outside ユーザに転送されます。

Outside ユーザによる Inside ホストへのアクセスの試行

Outside ネットワーク上のユーザが Inside ホストへアクセスしようとします。セキュリティ アプライアンスによってパケットが受信され、必要な場合は送信元 MAC アドレスが MAC アドレス テーブルに追加されます。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、または AAA)の条件に従ってパケットが許可されているかどうかが確認されます。

注:マルチ コンテキスト モードの場合、一意のインターフェイスに従って、まずセキュリティ アプライアンスによってパケットが分類されます。

パケットが拒否され、Outside ユーザが Inside ホストへのアクセス権を持っていないため、セキュリティ アプライアンスによってパケットが廃棄されます。Outside ユーザが Inside ネットワークを攻撃しようとする場合、セキュリティ アプライアンスではさまざまなテクノロジーを利用して、パケットがすでに確立されたセッションに有効であるかどうかが判断されます。

確認

ここでは、設定が正常に動作していることを確認します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ciscoasa(config)# sh firewall
Firewall mode: Transparent

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 97853