セキュリティ : Cisco IOS ファイアウォール

認証プロキシの実装

2002 年 12 月 12 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 1 月 19 日) | フィードバック

目次


概要

認証プロキシ(auth-proxy)は、Cisco IOS(R) ソフトウェア ファイアウォール バージョン 12.0.5.T 以降で使用可能であり、発信ユーザまたは着信ユーザ、およびその両方の認証に使用されます。これらのユーザは通常はアクセス リストによってブロックされますが、認証プロキシを使用すると、ユーザはブラウザを起動してファイアウォールを通過し、Terminal Access Controller Access Control System Plus(TACACS+)または RADIUS サーバで認証を受けることができるようになります。このサーバはアクセス リストの追加エントリをルータに渡し、認証後にユーザの通過を許可します。

この文書では、認証プロキシの実装に関する一般的なヒントや、認証プロキシに関係する CiscoSecure サーバのプロファイルについて説明し、さらに認証プロキシが使用されているときにユーザに対して表示される項目についても説明します。

認証プロキシの実装方法

  1. 認証プロキシを設定する前に、ファイアウォール上でトラフィックが正しく流れていることを確認します。
  2. テスト中のネットワークの中断を最小限にするため、既存のアクセス リストを変更して、テスト用のクライアントに対するアクセスを拒否します。
  3. テスト用のクライアントがファイアウォールを通過できず、他のホストは通過できることを確認します。
  4. コンソール ポートまたは virtual type terminal(VTY; 仮想端末)から exec-timeout 0 0 を実行してデバッグをオンにし、認証プロキシ コマンドを実行してテストします。

サーバのプロファイル

この例のテストでは、CiscoSecure Unix および NT を使用しました。RADIUS が使用されている場合、RADIUS サーバでベンダー固有の属性(属性 26)がサポートされている必要があります。具体的な例を次に示します。

CiscoSecure UNIX(TACACS+)

    
    # ./ViewProfile -p 9900 -u proxyonly
    
    User Profile Information
    
    user = proxyonly{
    
    profile_id = 57
    
    set server current-failed-logins = 1
    
    profile_cycle = 2
    
    password = clear "********"
    
    service=auth-proxy {
    
    set priv-lvl=15
    
    set proxyacl#1="permit icmp any any"
    
    set proxyacl#2="permit tcp any any"
    
    set proxyacl#3="permit udp any any"
    
    }
    
    }
    
    

CiscoSecure NT(TACACS+)

  1. usernamepassword を入力します(CiscoSecure または NT データベース)。

  2. Interface Configuration に対して、TACACS+ を選択します。

  3. New Services の下で、Group オプションを選択し、Service のカラムに auth-proxy と入力します。Protocol のカラムは空白のままにしておきます。

    このステップの例を次に示します。

    TACACS+

  4. Advanced - 各サービスに対するウィンドウが表示され、属性をカスタマイズします。

  5. Group Settings で、auth-proxy をチェックして、その下のウィンドウに次の情報を入力してください。

      
      priv-lvl=15
      
      proxyacl#1=permit icmp any any
      
      proxyacl#2=permit tcp any any
      
      proxyacl#3=permit udp any any
      
        
CiscoSecure Unix(RADIUS)
    
    # ./ViewProfile -p 9900 -u proxy
    
    User Profile Information
    
    user = proxy{
    
    profile_id = 58
    
    profile_cycle = 1
    
    radius=Cisco {
    
    check_items= {
    
    2="proxy"
    
    }
    
    reply_attributes= {
    
    9,1="auth-proxy:priv-lvl=15"
    
    9,1="auth-proxy:proxyacl#1=permit icmp any any"
    
    9,1="auth-proxy:proxyacl#2=permit tcp any any"
    
    9,1="auth-proxy:proxyacl#3=permit udp any any"
    
    }
    
    }
    
    
    
    }
    
    
CiscoSecure NT(RADIUS)
  1. Network Configuration を開きます。NAS は Cisco radius であることが必要です。

  2. Interface Configuration の RADIUS が有効になっていない場合は、VSA のボックスをチェックしてください。

  3. User Settings で、Username/password を入力します。

  4. Group Settings で、[009/001] cisco-av-pair のオプションを選択します。選択した箇所の下にあるテキスト ボックスに次のように入力してください。

      
      auth-proxy:priv-lvl=15
      
      auth-proxy:proxyacl#1=permit icmp any any
      
      auth-proxy:proxyacl#2=permit tcp any any
      
      auth-proxy:proxyacl#3=permit udp any any
      
      

    このステップの例を次に示します。

    Group Setup

ユーザに対する表示

ユーザがファイアウォールの向う側をブラウズしようとしています。

次のメッセージが記述されたウィンドウが表示されます。

    
    Cisco <hostname> Firewall
    
    Authentication Proxy
    
    Username:
    
    Password:
    
    
ユーザ名とパスワードに問題がなければ、次のように表示されます。
    
    Cisco Systems
    
    Authentication Successful!
    
    

認証に失敗すると、次のメッセージが表示されます。

    
    Cisco Systems
    
    Authentication Failed!
    
    


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 17778