IP : Cisco PIX 500 シリーズ セキュリティ アプライアンス

2台のルータを用いた場合のCisco Secure PIX Firewallの設定

2002 年 3 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 26 日) | フィードバック

目次


概要

この例では、ルータと PIX ファイアウォールの組合せを使用してネットワークを保護する方法を示します。また3 つのレベル(ルータ 2 台と PIX Firewall)での防御、および潜在的なセキュリティアタックを特定するための syslog サーバへのロギング設定を紹介します。

注:この資料では、ネットワークを不正侵入から防御するために必要となるパスワード選択やその他のセキュリティ手段については扱いません。

ハードウェアとソフトウェアのバージョン

この設定は、次のソフトウェア バージョンを使用して設定およびテストされています。

  • PIX Software バージョン 5.3.1
注: PIX ソフトウェアの他のバージョンで使用するコマンドは、わずかに異なります。この設定を実装する前に、『PIXファイアウォールに関する文書』を参照してください。

ネットワーク ダイアグラム

設定例

最初の設定は PIX Firewall の設定です。なぜならルータの設定はファイアウォールに関連して理解しておく必要があるためです。

ご使用のシスコ デバイスの、write terminal コマンドの出力データがあれば、これを使用して 今後予想される障害と修正を表示できます。これを使用するには、 CCO 登録ユーザとしてログインしており、JavaScript を有効化している必要があります。
 


PIX Firewall
!--- PIX Firewall の外部アドレスを設定するには:

  ip address outside 131.1.23.2

  !-- PIX Firewall の内部アドレスを設定するには:

  ip address inside 10.10.254.1

  !---ファイアウォールの内側のホストのためのグローバル プールを設定するには: 

  global (outside) 1 131.1.23.12-131.1.23.254

  !--- 10.0.0.0 ネットワーク内のホストが

  !--- PIX を介して変換できるようにするには: 

  nat (inside) 1 10.0.0.0

  !--- ローカルアドレス10.14.85を持つAdminワークステーション(syslog server).

  !--- のスタティック変換を設定するには: 

  static (inside,outside) 131.1.23.11 10.14.8.50

  !--- syslog パケットが PIX を通じて RTRA から

  !--- Adimin ワークステーション(syslog サーバ)へパススルーできるようにするには:

  conduit permit udp 131.1.23.1 255.255.255.0 131.1.23.11 255.255.255.0 eq 514

  !--- 131.1.23.10 へのSMTP接続を許可するには:

  conduit permit tcp host 131.1.23.10 eq smtp any

  static (inside, outside) 131.1.23.10 10.10.254.3

  !--- Mail Guard 機能により 7 つの SMTP コマンド--

  !--- HELO、MAIL、RCPT、DATA、RSET、NOOP、および QUIT だけを受け付けできるようにするには:

  !---(ESMTPを許可するために、no fixup protocol smtp 25 によりこの機能をオフにする場

  !--- 合があります。):

  fixup protocol smtp 25

  !--- 10.14.8.50 の内部ワークステーションから

  !--- PIX の内部インターフェイスへの Telnet を可能にするには: 

  telnet 10.14.8.50

  !--- ロギングをオンにするには:

  logging on

  !--- ロギング ファシリティ 20 をオンにするには:

  logging facility 20

  !--- ログレベル 7 をオンにするには:

  logging history 7

  !--- ファイアウォールの内側のホストへのロギングをオンにするにはlogging host inside 10.14.8.50

注:RTRA は外部のシールド ルータで、PIX Firewall への直の攻撃に対する保護、FTP/HTTP サーバの保護、およびアラーム システムとして機能する必要があります。何者かが RTRA に侵入した場合は、ただちにシステム管理者に通知されなければなりません。


RTRA
no service tcp small-servers 

  !--- ルータ自身に対する不正侵入を防ぎます

  logging trap debugging

  !--- ルータ上でイベントが発生するたびに、必ずルータがメッセージを syslog サーバに

  !--- 送信するようにします。アクセスリストによりアクセスが拒否されたパケット、設定変更

  !--- などのイベントが含まれます。これは早期の警告システムとして、システム管理者に

  !--- 何者かが侵入しようとしている、または侵入してファイアウォールに

  !---「ホール」をつくろうとしていることを警告します。

  logging 131.1.23.11

  !--- ルータはこのホストに全てのイベントをログします。この場合ホストは、

  !--- システム管理者のワークステーションの「外部」または「変換された」アドレスです。

  enable secret xxxxxxxxxxx

  !

  interface Ethernet 0

   ip address 131.1.23.1 255.255.255.0

  !

  interface Serial 0

   ip unnumbered ethernet 0

   ip access-group 110 in 

  !--- PIX Firewall や HTTP/FTP サーバを不正侵入から遮蔽して、

  !--- スプーフィング攻撃に対して防御します(下記のアクセス リスト定義を参照)。

  !

  

  access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

  !--- RTRA と PIX Firewall; これはスプーフィング攻撃を防ぐためのものです。

  access-list 110 deny ip any host 131.1.23.2 log

  !--- PIX Firewall の外部インターフェイスに対する直の攻撃を防ぎ、

  !--- PIX の外部インターフェイスに接続の試みがあれば、すべてを syslog サーバに

  !--- ログします。

  access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established

  !--- 確立された TCP セッションの一部であるパケットを許可します。

  access-list 110 permit tcp any host 131.1.23.3 eq ftp

  !--- FTP/HTTP サーバへの FTP 接続を可能にします。

  access-list 110 permit tcp any host 131.1.23.3 eq ftp-data

  !--- FTP/HTTP サーバへの FTP データ接続を可能にします。

  access-list 110 permit tcp any host 131.1.23.3 eq www

  !--- FTP/HTTP サーバへの HTTP 接続を可能にします。

  access-list 110 deny ip any host 131.1.23.3 log

  !--- FTP/HTTP サーバへの他のすべての接続を否認して、このサーバに接続しようとする

  !--- あらゆる試みを syslog サーバにログします。

  access-list 110 permit ip any 131.1.23.0 0.0.0.255

  !--- PIX Firewall と RTRA 間のネットワークを宛先としたその他のトラフィックを

  !--- 許可します。

  !

  line vty 0 4

   login

   password xxxxxxxxxx

   access-class 10 in

  !--- アクセス リスト10 を使用し、ルータに対する Telnet アクセスを

  !--- 制限します。アクセス リスト 10 の詳細は下記に示します。

  !

  access-list 10 permit ip 131.1.23.11

  !--- 管理者のワークステーションだけがルータへの Telnet 接続を許可されます。メンテナンスのための

  !--- インターネットからのアクセスを許可するために、アクセス リストの変更が

  !--- 必要な場合もあります。ただし、エントリをできるだけ少なくする必要があります。

注:RTRB は内部のシールド ルータです。ファイアウォールの最後の防衛線で、内部ネットワークへの入口です。

ご使用のシスコ デバイスの、show running-configuration コマンドの出力データがあれば、これを使用して 今後予想される障害と修正を表示できます。これを使用するには、 CCO 登録ユーザとしてログインしており、JavaScript を有効化している必要があります。
 


RTRB
logging trap debugging

  logging 10.14.8.50

  !--- 設定変更を含むこのルータのすべてのアクティビティを管理者ワークステーションの

  !--- syslog サーバにログします。

  !

  interface Ethernet 0

   ip address 10.10.254.2 255.255.255.0

   no ip proxy-arp

   ip access-group 110 in

  !--- 内部および外部アドレスが混合するのを防ぎます。

  !--- PIX Firewall や SMTP サーバからの不正侵入に対しできる限り防御します。

  !

  access-list 110 permit udp host 10.10.250.5 0.0.0.255

  !--- 管理者のワークステーションを送信先にした syslog メッセージを許可します。

  access-list 110 deny ip host 10.10.254.1 any log

  !--- PIX Firewall から送信された他のあらゆるパケットを拒否します。

  access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp

  !--- 内部メール サーバからメールホストへの SMTP メール接続を許可します。

  access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

  !--- メール サーバから送信された他のすべてのトラフィックを拒否します。

  access-list deny ip 10.10.250.0 0.0.0.255 any

  !--- 内部ネットワークの信頼できるアドレスのスプーフィングを防ぎます。

  access-list permit ip 10.10.254.0 0.0.0.255 10.10.250.0 0.255.255.255

  !--- PIX Firewall と RTRB 間のネットワークから送信された他のすべての

  !--- トラフィックを許可します。

  !

  line vty 0 4

   login

   password xxxxxxxxxx

   access-class 10 in

  !--- アクセス リスト 10を使用しルータに対する Telnet アクセスを

  !--- 制限します。アクセス リスト 10 の詳細は下記に示します。

  !

  access-list 10 permit ip 10.14.8.50

  !--- 管理者のワークステーションだけがルータへの Telnet 接続を許可されます。メンテナンスのため、

  !--- インターネットからのアクセスを許可するために、アクセス リストの変更が

  !--- 必要な場合もあります。ただし、エントリをできるだけ少なくする必要があります。

概念


ファイアウォールの目的はネットワークへの不正な進入を防ぎながら同時に必要なトラフィックを許可することであることを忘れてはなりません。最も簡単なのは、まず侵入の目的には何が考えられるかを分析してから、潜在的な犯罪者がネットワークに入り込むのを困難にする方法を検討することです。こうした状況の中で、犯罪者はサーバに秘密情報が保管されていると考えており、この秘密情報はライバルにとって非常に貴重なものになると考えていると想定してください。このサーバの IP アドレスは、犯罪者が調べたところ、10.100.100.10 です。

すぐに、犯罪者は大きな問題に直面します。このサーバの IP アドレスはインターネット上で到達することができないアドレスです。インターネットに接続している組織は、ネットワーク 10 を送信先アドレスにもつパケットを転送しません。このため犯罪者は、これがインターネット上で何のアドレスに変換されているかを見つけ出すか(優秀なシステム管理者ならこのアドレスをインターネットの上に変換されないようにします)、ネットワークに直接侵入して「ベースキャンプ」を乗っ取り、そこから機密データが保管されたサーバに侵入するかのどちらかの方法をとらざるを得なくなります。犯罪者はサーバへ直接侵入する方法を見つけることができず、そこでまずネットワーク内に侵入してこのネットワーク内部からサーバに侵入しようとしていると想定します。

犯罪者が直面する最初の障害は第 1 の「非武装地帯」(DMZ)で、RTRA と PIX Firewall の間にあります。犯罪者は RTRA に侵入しようとしますが、ルータは管理者のワークステーションからの接続だけを受け付け、DMZ から発信されたと思われるパケットを阻止するよう設定されています。犯罪者が RTRA に侵入できた場合でも、自分は PIX Firewall への攻撃が可能な位置にいることに気がつくだけです。ネットワーク「内」にいるわけではなく、機密データを持つホストに直接侵入することはできません。

犯罪者が FTP/HTTP サーバに侵入することも考えられますが、このホストはこのような不正侵入に対してできる限り保護されているはずです。もし犯罪者がうまく FTP/HTTP サーバに侵入しても、機密データが保管されたホストに直接侵入できる位置にいるわけではありません。しかし、PIX Firewall を直接攻撃できる場所にいることになります。いずれの場合にしても、犯罪者の行動はここにいたるまでいくつものポイントでログされているはずで、システム管理者は侵入者の存在が警報されています。

不正侵入者が外側の DMZ にうまく侵入すると、自分がいるのは PIX Firewall をより攻撃できる場所にいることがわかり、2つめ、つまり内側の DMZ が次の目標になります。 この目標に到達するためには PIX Firewall そのものに侵入したり RTRB に侵入しなければなりません。RTRB はシステム管理者のワークステーションからの Telnet セッションだけを受け付けるようプログラムされています。繰り返しますが、内側の DMZ に侵入しようとする不正侵入者の試みは PIX Firewall と RTRB の両方にログされるため、システム管理者には何らかの警告が送られており、不正侵入者が機密サーバに直接侵入できる場所に到達する前に侵入をくい止めることができます。

不正侵入者は外側の DMZ を迂回し、メール ホストに侵入して内側 DMZ に入り込もうとすることも考えられます。このホストは PIX Firewall によって保護されており、慎重なモニタリングと設定によって保護されているはずです。これはファイアウォール全体で最も無防備なホストです。

これでわかるように、この概念は 1 つの「超強力な」防壁ではなく、防御の層をいくつも作ることです。一つ一つの層は連結して1 つの強力なファイアウォール構造をつくります。このファイアウォール構造は、承認したいトラフィックを許可する柔軟性があり、また多数のアラーム機能と早期警報システムを備えています。

ファイアウォールでの使用が推奨できないネットワーク プロトコル
一部のネットワーク プロトコルは本質的に不安全な性質があるため、非信頼 ネットワークから信頼 ネットワークへ、ファイアウォール介した運用をすることは適していません。こうした不安全なプロトコルには、たとえば次のようなものがあります。
  • NFS
  • rlogin
  • rsh
  • あらゆる RPC ベースのプロトコル

PIX の新しい改訂版には RPC プロトコルのサポートが装備されました。ただしシスコでは、RPCがきわめて不安全なためこの機能を使用しないことを推奨しています。この機能は、きわめて特別な状況でだけ使用することを意図しています。

ツール情報

その他の情報については、シスコの「TAC Tools for Security Technologies」を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報

出版物

  • Building Internet Firewalls』(Chapman & Zwicky 著)は、
    ファイアウォールに関する優れた参考図書です。

更新日:2002 年 3 月 14 日


Document ID: 15244