セキュリティと VPN : ロック アンド キー

ロック アンド キー: ダイナミック アクセス リスト

2002 年 12 月 13 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 7 月 12 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
スプーフィングについて
パフォーマンス
ロック アンド キー アクセスを使用する状況
ロック アンド キー アクセスの動作
設定例とトラブルシューティング
     ネットワーク ダイアグラム
     TACACS+ の使用
     RADIUS の使用
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

ロック アンド キー アクセスを使用すると、ユーザ認証プロセスを使用して特定の発信元/送信先ホストへのアクセスをユーザ単位で許可する、ダイナミック アクセス リストを設定できます。セキュリティ上の制限を緩和することなく、ファイアウォールを通じたユーザ アクセスを動的に許可できます。

はじめに

表記法

文書の表記法に関する詳細については、「シスコ テクニカル ティップス:表記法」を参照してください。

前提条件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

この文書は、特定のソフトウェアまたはハードウェアに限定されるものではありません。

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。この文書内で使用されているデバイスはすべて、クリアーな状態(デフォルト)から設定作業を始めています。実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

スプーフィングについて

ロック アンド キー アクセスを使用すると、外部イベントによってファイアウォールに穴を開けることができます。この穴が開いてしまうと、ルータは発信元アドレスのスプーフィングを受ける可能性があります。これを防止するには、IP 暗号化と認証または暗号化を使用した、暗号化サポートを行う必要があります。

スプーフィングの問題はすべての既存のアクセス リストに存在します。ロック アンド キー アクセスではこの問題に対処できません。

ロック アンド キー アクセスでは、ネットワーク ファイアウォールに潜在的な通路が作成されるため、ダイナミック アクセスを検討する必要があります。認証済みのアドレスになりすました他のホストが、ファイアウォールの内側にアクセスできるようになります。ダイナミック アクセスでは、無許可のホストが認証済みのアドレスになりすまして、ファイアウォールの内側にアクセスできる可能性があります。ロック アンド キー アクセスでは、アドレス スプーフィングの問題は発生しません。この文書では、この問題はユーザが懸念すべき問題として認識されるにとどまります。

パフォーマンス

次の 2 つの状況においてパフォーマンスに影響が生じます。

  • それぞれのダイナミック アクセス リストによって、Silicon Switching Engine(SSE; シリコン スイッチング エンジン)では強制的にアクセス リストが再作成されます。これが原因で、SSE スイッチング パスの速度が一瞬低下します。

  • ダイナミック アクセス リストでは、(タイムアウトがデフォルトのまま変更されていない場合でも)アイドル タイムアウト機能が必要なため、ダイナミック アクセス リストは SSE スイッチングできません。このようなエントリはプロトコル ファースト スイッチング パスで処理する必要があります。

境界ルータの設定には十分に注意する必要があります。リモート ユーザは、境界ルータにアクセス リストのエントリを作成します。アクセス リストは動的に拡大および縮小します。idle-timeout または max-timeout の期間が経過すると、エントリがリストから動的に削除されます。アクセス リストが大きくなると、パケット交換のパフォーマンスが低下します。

ロック アンド キー アクセスを使用する状況

ロック アンド キー アクセスを使用する状況の例を、次に 2 つ示します。

  • インターネット経由で、リモート ホストがインターネットワーク内のホストにアクセスできるようにする場合。ロック アンド キー アクセスによって、ファイアウォールを越えたアクセスが、ホスト単位またはネット単位で制限されます。

  • ネットワーク上の一部のホストが、ファイアウォールで保護されたリモート ネットワーク上のホストにアクセスできるようにする場合。ロック アンド キー アクセスを使用すると、TACACS+ または RADIUS サーバによる認証を行うことで、希望するホスト群のみにアクセスを許可できます。

ロック アンド キー アクセスの動作

次のプロセスは、ロック アンド キー アクセスの動作を示しています。

  1. ユーザが、ロック アンド キー アクセス用に設定された境界ルータへの Telnet セッションを開きます。

  2. Cisco IOS ソフトウェアは Telnet パケットを受信し、ユーザ認証プロセスを実行します。ユーザは認証をパスしない限り、アクセスを許可されません。この認証プロセスは、ルータが実行することも、TACACS+ サーバまたは RADIUS サーバなどの中央アクセス サーバで実行することもできます。

設定例とトラブルシューティング

ネットワーク ダイアグラム

13.gif

認証問い合せプロセスには TACACS+ サーバを使用することを、強くお勧めします。TACACS+ では、認証、許可、およびアカウンティングサービスが提供されます。また、プロトコル サポート、プロトコル仕様、および中央集中型セキュリティ データベースも提供されます。

ユーザの認証は、ルータで行うことも、TACACS+ または RADIUS サーバを使用することもできます。最初に、ルータで行うための設定を説明し、その後 TACACS+ または RADIUS を使用して行うために必要なコマンドを追加します。

注:次のコマンドは、特に指定のない限りグローバル コマンドです。

ルータでは、ローカル認証を行うために、username コマンドでユーザにユーザ名を与える必要があります。


username test password test

login local により vty ラインからログインすると、このユーザ名が使用されます。


line vty 0 4

login local

ユーザが access-enable コマンドを発行することを認めていないため、次の 2 つのどちらかを実行します。

  • ユーザ単位で、ユーザにタイムアウトを関連付けます。

    
    username test autocommand access-enable host
    
    timeout 10
    
    

    または

  • Telnet 接続するすべてのユーザに同じタイムアウトを関連付けます。

    
    line vty 0 4
    
    login local
    
    autocommand access-enable host timeout 10
    
    

注:上記の構文の 10 はアクセス リストのアイドル タイムアウトで、ダイナミック アクセス リストの絶対タイムアウトによって上書きできます。

次に、拡張アクセス リストを定義します。このアクセス リストは、ユーザ(任意のユーザ)がルータにログインし、access-enable コマンドを発行したときに適用されます。このフィルタの「穴」の最大絶対時間は、15 分に設定されます。15 分が経過すると、この穴はだれかが使用しているかどうかにかかわらず閉じられます。testlist という名前は存在している必要がありますが、重要ではありません。発信元アドレスまたは送信先アドレスを設定することで、ユーザがアクセスできるネットワークを制限できます(ここではユーザを制限していません)。


access-list 120 dynamic testlist timeout 15 permit ip any

any 

次に、ルータへの Telnet 以外をすべてブロックするために必要なアクセス リストを定義します(穴を開けるために、ユーザはルータに Telnet 接続する必要があります)。ここに示す IP アドレスは、ルータのイーサネット IP アドレスです。


access-list 120 permit tcp any host 171.68.117.189 eq

telnet 

(ここでは入力していませんが)最後に「すべて拒否」が暗黙的に指定されていることを覚えておいてください。

今度は、ユーザが接続してくるインターフェイスにこのアクセス リストを適用します。


interface ethernet1

       ip access-group 120 in

終了しました。

この時点でのルータのフィルタのようすを、次に示します。

Router# show ip access-lists 120

Extended IP access list 120

    Dynamic testlist Max. 15 mins. permit ip any any timeout 15 min.

    permit tcp any host 171.68.117.189 eq telnet (243 matches)



これで、内部ネットワークへアクセスするユーザは、ルータへ Telnet 接続するまで何も見ることができなくなりました。

注:ここに示す「10」はアクセス リストのアイドル タイムアウトで、ダイナミック アクセス リストの絶対タイムアウトによって上書きできます。

% telnet 2514A

Trying 171.68.117.189 ...

Connected to 2514A.network.com.

Escape character is '^]'.





User Access Verification



Username: test

Password: test



Connection closed by foreign host.

これで、フィルタが次のようになります。

Router# show ip access-lists 120

Extended IP access list 120

    Dynamic testlist Max. 15 mins. permit ip any any timeout 15 min.

       permit ip host 171.68.109.158 any idle-time 10 min. (590 matches)

    permit tcp any host 171.68.117.189 eq telnet (421 matches)



発信元 IP アドレスに基づいて、この 1 人のユーザに対してフィルタに穴が開いていることがわかります。

他のユーザが同じことを行うと、2 つの穴が開くことが分かります。

Router# show ip access-lists 120

Extended IP access list 120

    Dynamic testlist Max. 15 mins. permit ip any any timeout 15 min.

       permit ip host 171.68.109.64 any idle-time 10 min. (10 matches)

       permit ip host 171.68.109.158 any idle-time 10 min. (23 matches)

    permit tcp any host 171.68.117.189 eq telnet

また、これらのユーザは自分の発信元 IP アドレスから任意の送信先 IP アドレスへの、完全な IP アクセスが可能になります。

TACACS+ の使用

TACACS+ を使用するには、認証および許可を必ず実行するよう、次のように TACACS+ サーバを設定する必要があります。

tacacs-server host 111.111.111.111

tacacs-server key aaaaaaa123



aaa authentication login default tacacs+ local

aaa authorization exec default tacacs+



TACACS+ サーバ上でのユーザの設定は、次のようになります。

注:この設定は TACACS+ フリーウェア デーモン用です。CiscoSecure ソフトウェアも、EXEC 特権で autocommand access-enable を実行することで同様に設定できます。

# This user is a Lock and Key user. Lock and Key must also

# be configured on the NAS. Timeout for the user is 10 minutes.

user = test {

        login = cleartext "test"

        service = exec {

                autocmd = "access-enable host timeout 10"

        }

}



RADIUS の使用

RADIUS を使用するには、RADIUS サーバ上で認証を必ず実行し、ベンダー固有の属性 26)に許可パラメータ(autocommand)を送信するよう、次のように RADIUS サーバを設定する必要があります。

radius-server host 111.111.111.111

radius-server key aaaaaaa123



aaa authentication login default radius local

aaa authorization exec default radius 

RADIUS サーバ上でのユーザの設定は、次のようになります。

Note: This configuration is from a RADIUS freeware daemon; CiscoSecure software would be sent up similarly with Service-type = Shell-user and shell autocommand access-enable:

LK      Password = "LK"

                 User-Service-Type = Shell-User,

                 cisco-avpair = "shell:autocmd=access-enable host timeout 10"




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 7604