セキュリティ : Cisco IOS ファイアウォール

SDM を使用した Cisco IOS ロールベース アクセス コントロール: 運用グループごとの個別の構成アクセス権の設定

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 2 月 29 日) | フィードバック


目次


概要

ルーティングおよびセキュリティ機能は、従来、独立したデバイスでサポートされています。これによって、ネットワーキング インフラストラクチャとセキュリティ サービスの間での管理責任の分離が明確になります。 Cisco サービス統合型ルータのセキュリティ機能とルーティング機能のコンバージェンスでは、このようなマルチデバイスにおける明快な分離が提供されません。 いくつかの組織は設定機能の分離が機能境界に沿う顧客かサービス管理グループを制限することを必要とします。 CLI 意見、Cisco IOS か。 ソフトウェア機能は、役割ベース CLI アクセスのこの必要に対応するように努めます。 この資料は Cisco IOS コマンドラインインターフェイスからの CLI ビューの機能にバックグラウンド Cisco IOS 役割ベース アクセスコントロールおよびオファーの SDM サポートによって定義される設定を説明したものです。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

多くの組織はセキュリティ操作グループにネットワークオペレーション グループへのルーティングおよび基本設備接続のメンテナンスに対する責任、およびファイアウォール、VPN および侵入防御 機能性のメンテナンスに対する責任に委託します。 CLI 意見は secops グループにセキュリティ機能性 設定 および モニタリング機能を制限でき逆に netops グループにネットワーク接続、ルーティングおよび他の基本設備タスクを制限します。

いくつかのサービスプロバイダーは限られた設定またはモニタリング能力を顧客に提供し、顧客をその他のデバイス設定を行うか、または表示することを許可したいと思います。 再度、CLI 意見は承認されたコマンドだけ実行するためにユーザかユーザグループを制限するように CLI 機能の粒状制御を提供します。

/image/gif/paws/106263/sdm_cli_views.gif

Cisco IOSソフトウェアは機能がユーザ名またはユーザグループ メンバシップに基づいて CLI コマンドを実行するようにするか、または否定する許可のための TACACS+ サーバの CLI コマンドを制限するために機能を提供しました。 CLI 意見は同じような機能を提供しますが、ユーザの指定されたビューが AAAサーバから届いた後ポリシー制御はローカルデバイスによって加えられます。 デバイスと AAAサーバ間の頻繁なダイアログを引き起こす Aaa コマンド 許可が使用されるとき、各コマンドは AAAサーバによってそれぞれ承認する必要があります。 CLI 意見は Aaa コマンド 許可がすべてのデバイスに同じコマンド許可 ポリシーをユーザアクセス適用する一方、毎デバイス CLI ポリシー制御を可能にします。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ビューとユーザを関連付けて下さい

ユーザは AAA からのまたはローカル認証 設定の帰りアトリビュートによってローカル CLI ビューと関連付けることができます。 ローカルコンフィギュレーションに関しては、ユーザ名は設定されたパーサー ビュー名と一致する追加ビューのオプションで設定されます。 これらのユーザ例はデフォルト SDM 意見用に設定されます:

username fw-user privilege [privilege-level] view SDM_Firewall 
username monitor-user privilege [privilege-level] view SDM_Monitor 
username vpn-user privilege [privilege-level] view SDM_EasyVPN_Remote 
username sdm-root privilege [privilege-level] view root

ある特定のビューに割り当てられるユーザは別のビューに彼らに入力したいと思うビュー用のパスワードがある場合一時的に切り替えることができます。 意見を変更するためにこの EXEC コマンドを発行して下さい:

enable view view-name

パーサー ビュー設定

CLI 意見はルータ CLI から、または SDM によって設定することができます。 SDM は SDM CLI 意見サポート セクションに記述されているように 4 つの意見用に静的なサポートを、提供します。 コマンドラインインターフェイスからの CLI ビューを設定するために、ルート ビュー ユーザとユーザが定義するそれらはパーサー ビュー設定にアクセスと表示するために属する必要があります。 関連付けられないビューと意見を設定することを試み、ユーザはこのメッセージを受け取ります:

router(config#parser view test-view 
No view Active! Switch to View Context

CLI 意見はエグゼクティブ用の完全なコマンド階層の包含か除外およびコンフィギュレーションモード、またはそれから部分だけ両方可能にします。 3 つのオプションは利用できます許可するか、またはコマンドを拒否するか、またはある特定のビューの階層を命じて:

router(config-view)#commands configure ?
  exclude            Exclude the command from the view
  include            Add command to the view
  include-exclusive  Include in this view but exclude from others

CLI 意見は running-config を切捨てます従ってパーサー ビュー設定は表示する。 ただし、パーサー ビュー設定は startup-config で目に見えます。

ビュー定義に関する詳細については役割ベース CLI アクセスを参照して下さい。

パーサー ビュー アソシエーションの検証

パーサー ビューに割り当てられるユーザはルータにログオンされるときどのビューに割り当てられるか判別できます。 提示パーサー ビュー コマンドがユーザー ビュー用に許可される場合、彼らは意見を判別するために提示パーサー ビュー コマンドを発行できます:

router#sh parser view
Current view is 'SDM_Firewall'

SDM CLI 意見サポート

SDM は 3 つの Launch Default View、2、およびファイアウォールおよび VPN コンポーネントの設定 および モニタリングのための 1 つの制限モニタリングだけビューを提供します。 追加デフォルト ルート ビューは SDM で同様に利用できます。

SDM は含まれているか、または各 Launch Default View から除かれるコマンドを修正する機能を提供しないし追加意見を定義するために機能を提供しません。 追加意見が CLI から定義される場合、SDM はユーザアカウント/意見 Configuration パネルの追加ビューを提供しません。

これらの意見およびそれぞれコマンド権限は SDM のためにあらかじめ定義されます:

SDM_Firewall ビュー

parser view SDM_Firewall
 secret 5 $1$w/cD$T1ryjKM8aGCnIaKSm.Cx9/
 commands interface include all ip inspect
 commands interface include all ip verify
 commands interface include all ip access-group
 commands interface include ip
 commands interface include description
 commands interface include all no ip inspect
 commands interface include all no ip verify
 commands interface include all no ip access-group
 commands interface include no ip
 commands interface include no description
 commands interface include no
 commands configure include end
 commands configure include all access-list
 commands configure include all ip access-list
 commands configure include all interface
 commands configure include all zone-pair
 commands configure include all zone
 commands configure include all policy-map
 commands configure include all class-map
 commands configure include all parameter-map
 commands configure include all appfw
 commands configure include all ip urlfilter
 commands configure include all ip inspect
 commands configure include all ip port-map
 commands configure include ip cef
 commands configure include ip
 commands configure include all crypto
 commands configure include no end
 commands configure include all no access-list
 commands configure include all no ip access-list
 commands configure include all no interface
 commands configure include all no zone-pair
 commands configure include all no zone
 commands configure include all no policy-map
 commands configure include all no class-map
 commands configure include all no parameter-map
 commands configure include all no appfw
 commands configure include all no ip urlfilter
 commands configure include all no ip inspect
 commands configure include all no ip port-map
 commands configure include no ip cef
 commands configure include no ip
 commands configure include all no crypto
 commands configure include no
 commands exec include all vlan
 commands exec include dir all-filesystems
 commands exec include dir
 commands exec include crypto ipsec client ezvpn connect
 commands exec include crypto ipsec client ezvpn xauth
 commands exec include crypto ipsec client ezvpn
 commands exec include crypto ipsec client
 commands exec include crypto ipsec
 commands exec include crypto
 commands exec include write memory
 commands exec include write
 commands exec include all ping ip
 commands exec include ping
 commands exec include configure terminal
 commands exec include configure
 commands exec include all show
 commands exec include all debug appfw
 commands exec include all debug ip inspect
 commands exec include debug ip
 commands exec include debug
 commands exec include all clear

SDM_EasyVPN_Remote ビュー

parser view SDM_EasyVPN_Remote
 secret 5 $1$UnC3$ienYd0L7Q/9xfCNkBQ4Uu.
 commands interface include all crypto
 commands interface include all no crypto
 commands interface include no
 commands configure include end
 commands configure include all access-list
 commands configure include ip radius source-interface
 commands configure include ip radius
 commands configure include all ip nat
 commands configure include ip dns server
 commands configure include ip dns
 commands configure include all interface
 commands configure include all dot1x
 commands configure include all identity policy
 commands configure include identity profile
 commands configure include identity
 commands configure include all ip domain lookup
 commands configure include ip domain
 commands configure include ip
 commands configure include all crypto
 commands configure include all aaa
 commands configure include default end
 commands configure include all default access-list
 commands configure include default ip radius source-interface
 commands configure include default ip radius
 commands configure include all default ip nat
 commands configure include default ip dns server
 commands configure include default ip dns
 commands configure include all default interface
 commands configure include all default dot1x
 commands configure include all default identity policy
 commands configure include default identity profile
 commands configure include default identity
 commands configure include all default ip domain lookup
 commands configure include default ip domain
 commands configure include default ip
 commands configure include all default crypto
 commands configure include all default aaa
 commands configure include default
 commands configure include no end
 commands configure include all no access-list
 commands configure include no ip radius source-interface
 commands configure include no ip radius
 commands configure include all no ip nat
 commands configure include no ip dns server
 commands configure include no ip dns
 commands configure include all no interface
 commands configure include all no dot1x
 commands configure include all no identity policy
 commands configure include no identity profile
 commands configure include no identity
 commands configure include all no ip domain lookup
 commands configure include no ip domain
 commands configure include no ip
 commands configure include all no crypto
 commands configure include all no aaa
 commands configure include no
 commands exec include dir all-filesystems
 commands exec include dir
 commands exec include crypto ipsec client ezvpn connect
 commands exec include crypto ipsec client ezvpn xauth
 commands exec include crypto ipsec client ezvpn
 commands exec include crypto ipsec client
 commands exec include crypto ipsec
 commands exec include crypto
 commands exec include write memory
 commands exec include write
 commands exec include all ping ip
 commands exec include ping
 commands exec include configure terminal
 commands exec include configure
 commands exec include all show
 commands exec include no
 commands exec include all debug appfw
 commands exec include all debug ip inspect
 commands exec include debug ip
 commands exec include debug
 commands exec include all clear

SDM_Monitor ビュー

parser view SDM_Monitor
 secret 5 $1$RDYW$OABbxSgtx1kOozLlkBeJ9/
 commands configure include end
 commands configure include all interface
 commands configure include no end
 commands configure include all no interface
 commands exec include dir all-filesystems
 commands exec include dir
 commands exec include all crypto ipsec client ezvpn
 commands exec include crypto ipsec client
 commands exec include crypto ipsec
 commands exec include crypto
 commands exec include all ping ip
 commands exec include ping
 commands exec include configure terminal
 commands exec include configure
 commands exec include all show
 commands exec include all debug appfw
 commands exec include all debug ip inspect
 commands exec include debug ip
 commands exec include debug
 commands exec include all clear

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連情報


Document ID: 106263