セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 8.3: Cisco セキュリティ アプライアンス経由の接続の確立とトラブルシューティング

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco 適応型セキュリティ アプライアンス(ASA)の初期の設定では、デフォルトのセキュリティ ポリシーが適用され、内部から出ることはできますが、外部から入ることはできません。 これとは異なるセキュリティ ポリシーを適用する必要があるサイトの場合、外部のユーザは ASA 経由で Web サーバに接続することができます。

Cisco ASA を経由して基本的な接続性を確立したら、ファイアウォールの設定を変更できます。 ASA に追加する設定変更はすべて、サイトのセキュリティ ポリシーに準拠している必要があります。

トランスペアレント モードでセキュリティ アプライアンスを設定する方法の詳細は、『PIX/ASA: Cisco セキュリティ アプライアンスによる接続の確立とトラブルシューティング』(英語)を参照してください。

前提条件

要件

このドキュメントは、Cisco ASA での一部の基本設定がすでに終了していることを前提としています。 ASA の初期設定の例については、次のドキュメントを参照してください。

使用するコンポーネント

このドキュメントの情報は、バージョン 8.3 以降を稼働する Cisco 適応型セキュリティ アプライアンス(ASA)に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ASA を経由した接続性の動作

このネットワークでは、ホスト A が Web サーバであり、10.2.1.5 という内部アドレスを持っています。 この Web サーバには、外部(変換された)アドレス 192.168.202.5 が割り当てられます。 Web サーバにアクセスするには、インターネット ユーザは 192.168.202.5 を宛先とする必要があります。 Web サーバの DNS エントリも、そのアドレスである必要があります。 インターネットから他の接続はできません。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113182-asa83-tshoot-csa-01.gif

注: この設定で使用している IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 これらはラボ環境で使用されてきた RFC 1918 leavingcisco.com でのアドレスです。

Cisco ASA を経由した接続性の設定

ASA 経由の接続性を設定するには、次の手順を実行します。

  1. IP プールの範囲で、内部サブネットと別のネットワーク オブジェクトを定義するネットワーク オブジェクトを作成します。 次のネットワーク オブジェクトを使用して NAT を設定します。

    object network inside-net
    subnet 0.0.0.0 0.0.0.0
    object network outside-pat-pool
    range 192.168.202.10 192.168.202.50 
    nat (inside,outside) source dynamic inside-net  outside-pat-pool
     
    
    
  2. インターネット ユーザがアクセスする内部ホストに、スタティックな変換アドレスを割り当てます。

    object network obj-10.2.1.5
      host 10.2.1.5
      nat (inside,outside) static 192.168.202.5
    
  3. access-list コマンドを使用して、Cisco ASA 経由で外部ユーザがアクセスできるようにします。 access-list コマンドでは、変換アドレスを常に使用します。

    access-list 101 permit tcp any host 192.168.202.5 eq www
      access-group 101 in interface outside
    

ARP ブロードキャスト トラフィックの許可

セキュリティ アプライアンスは、Inside インターフェイスと Outside インターフェイスで同じネットワークに接続します。 トランスペアレント ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。 IP の再アドレッシングは必要ありません。 IPv4 トラフィックは、アクセス リストなしで、高いセキュリティ インターフェイスから低いセキュリティ インターフェイスに、透過ファイアウォールを自動的に通過することを許可されます。 Address Resolution Protocol(ARP; アドレス解決プロトコル)は、アクセス リストなしで、両方向に透過ファイアウォールの通過を許可されます。 ARP トラフィックは、ARP インスペクションによって制御できます。 低いセキュリティ インターフェイスから高いセキュリティ インターフェイスに移動するレイヤ 3 トラフィックの場合は、拡張アクセス リストが必要です。

注: 透過モードのセキュリティ アプライアンスは、Cisco Discovery Protocol(CDP)パケットや IPv6 パケット、または 0x600 以上の有効な EtherType を持たないすべてのパケットを通しません。 たとえば、IS-IS パケットは通過できません。 Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)は例外でサポートされます。

許可された MAC アドレス

次の宛先 MAC アドレスは、透過なファイアウォールを通過することが許可されています。 このリストにない MAC アドレスはドロップされます。

  • FFFF.FFFF.FFFF に等しい TRUE ブロードキャスト宛先 MAC アドレス

  • 0100.5E00.0000 ~ 0100.5EFE.FFFF の IPv4 マルチキャスト MAC アドレス

  • 3333.0000.0000 ~ 3333.FFFF.FFFF の IPv6 マルチキャスト MAC アドレス

  • 0100.0CCC.CCCD に等しい BPDU マルチキャスト アドレス

  • 0900.0700.0000~0900.07FF.FFFF の Appletalk マルチキャスト MAC アドレス

ルータ モードで通過を許可されないトラフィック

ルータ モードでは、あるタイプのトラフィックは、アクセス リストで許可されていたとしても、セキュリティ アプライアンスを通過できません。 ただし、透過ファイアウォールは、拡張アクセス リスト(IP トラフィックの場合)または EtherType アクセス リスト(IP トラフィック以外の場合)を使用して、ほとんどすべてのトラフィックの通過を許可できます。

たとえば、透過ファイアウォールを通してルーティング プロトコルの隣接関係を確立できます。 拡張アクセス リストに基づいて、Open Shortest Path First(OSPF)、Routing Information Protocol(RIP; ルーティング情報プロトコル)、Enhanced Interior Gateway Routing Protocol(EIGRP)、Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)の各トラフィックの通過を許可できます。 同様に、ホットスタンバイ ルータ プロトコル(HSRP)や仮想ルータ冗長プロトコル(VRRP)などのプロトコルは、セキュリティ アプライアンスを通過できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、MPLS など)は、EtherType アクセス リストを使用して、通過を許可されるように設定できます。

透過型ファイアウォール上で直接サポートされない機能の場合、上流および下流のルータによって機能がサポートされるように、トラフィックの通過を許可することができます。 たとえば、拡張アクセス リストを使用すると、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)トラフィック(サポートされない DHCP リレー機能の代わりに)や、IP/TV によって作成されるもののようなマルチキャスト トラフィックを許可できます。

接続性に関する問題のトラブルシューティング

インターネット ユーザが Web サイトにアクセスできない場合は、次の手順に従ってください。

  1. 設定アドレスが正しく入力されていることを確認します。

    • 有効な外部アドレス

    • 正しい内部アドレス

    • 外部 DNS が保持する変換アドレス

  2. outside インターフェイスでエラーが発生していないかどうかを確認します。

    Cisco セキュリティ アプライアンスは、インターフェイスの速度とデュプレックス モードを自動検出するように事前設定されています。 ただし、自動ネゴシエーション処理が失敗する可能性のある状況がいくつか存在します。 その結果、速度またはデュプレックス モードの不一致(およびパフォーマンスの問題)が発生します。 ミッション クリティカルなネットワーク インフラストラクチャの場合、シスコがインターフェイスごとに速度とデュプレックス モードを手動でハードコーディングするため、エラーが発生する可能性はありません。 これらのデバイスは通常、固定されています。 そのため、適切に設定すれば、変更する必要はありません。

    例:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex full
    asa(config-if)#speed 100
    asa(config-if)#exit
    

    状況によっては、速度とデュプレックス モードの設定をハードコーディングすると、エラーが発生する場合があります。 そのため、次の例に示すように、自動検出モードのデフォルト設定に、インターフェイスを設定する必要があります。

    例:

    asa(config)#interface ethernet 0/0
    asa(config-if)#duplex auto
    asa(config-if)#speed auto
    asa(config-if)#exit
    
  3. ASA またはヘッドエンド ルータのインターフェイスを通してトラフィックが送受信されない場合は、ARP の統計をクリアしてみてください。

    asa#clear arp
    
  4. スタティック変換が有効になっているかどうか確認するには、show run object および show run static コマンドを使用します。

    例:

    object service www
    service tcp source eq www
    object network 192.168.202.2
    host 192.168.202.2
    object network 10.2.1.5
    host 10.2.1.5
    object service 1025
    service tcp source eq 1025
    nat (inside,outside) source static 10.2.1.5 192.168.202.2 service 1025 www
     
    

    このシナリオでは、Outside の IP アドレスが、Web サーバのマッピングされる IP アドレスとして使用されます。

    nat (inside,outside) source dynamic 10.2.1.5 interface service 1025 www 
    
  5. Web サーバのデフォルト ルートが ASA の内部インターフェイスを指していることを確認します。

  6. show xlate コマンドを使用して変換テーブルを調べ、変換が作成されたかどうかを確認します。

  7. 拒否が発生しているかどうかをログ ファイルで調べるには、logging buffered コマンドを使用します (変換アドレスを捜し、拒否の有無を調べます)。

  8. capture コマンドを使用します。

    access-list webtraffic permit tcp any host 192.168.202.5
    
    capture capture1 access-list webtraffic interface outside
    

    注: このコマンドからは、大量の出力が生成されます。 トラフィックの負荷が大きい場合は、ルータがハングまたはリロードする可能性があります。

  9. パケットが ASA に到達した場合は、ASA から Web サーバへのルートが正しいことを確認します (ASA 設定で route コマンドをチェックします)。

  10. プロキシ ARP が無効になっているかどうかを確認します。 ASA 8.3 で show running-config sysopt コマンドを発行します。

    ここでは、プロキシ ARP を sysopt noproxyarp outside コマンドで無効にしています。

    ciscoasa#show running-config sysopt
    no sysopt connection timewait
    sysopt connection tcpmss 1380
    sysopt connection tcpmss minimum 0
    no sysopt nodnsalias inbound
    no sysopt nodnsalias outbound
    no sysopt radius ignore-secret
    sysopt noproxyarp outside
    sysopt connection permit-vpn

    プロキシ ARP を再び有効にするには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

    ciscoasa(config)#no sysopt noproxyarp outside
    

    ホストは、同じイーサネット ネットワーク上の別のデバイスに IP トラフィックを送信するときは、そのデバイスの MAC アドレスを知っている必要があります。 ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。 ホストは ARP 要求を送信し、その IP アドレスの所有者を尋ねます。 IP アドレスを所有するデバイスが応答し、「I own that IP address; here is my MAC address」というメッセージを返します。

    プロキシ ARP は、背後にあるホストに代わって ARP 要求に応答することを、セキュリティ アプライアンスに許可します。 セキュリティ アプライアンスは、ホストのスタティック マッピング アドレスに対する ARP 要求に応答します。 セキュリティ アプライアンスは、自分の MAC アドレスで要求に応答した後、IP パケットを適切な内部ホストに転送します。

    たとえば、このドキュメントのダイアグラムでは、Web サーバのグローバル IP アドレス 192.168.202.5 に対して ARP 要求が行われると、セキュリティ アプライアンスは自分の MAC アドレスで応答します。 この状況でプロキシ ARP が有効でない場合、セキュリティ アプライアンスの外部ネットワークのホストは、アドレス 192.168.202.5 に対する ARP 要求を発行して Web サーバに到達することはできません。 sysopt コマンドについての詳細は、コマンド リファレンスを参照してください。

  11. すべての設定が正しくてもユーザが Web サーバにアクセスできない場合は、Cisco テクニカル サポート(英語)でサービス リクエストをオープンしてください。

Error Message - %ASA-4-407001:

一部のホストはインターネットに接続できず。syslog が「Error Message - %ASA-4-407001: Deny traffic for local-host interface_name: inside_address, license limit of number exceeded」というエラー メッセージを受信します。 この問題の解決方法を次に説明します。

このエラー メッセージは、使用中のライセンスのユーザ限度をユーザの数が超えると出力されます。 このエラーを解消するには、ライセンスをアップグレードしてユーザの数を増やします。 ユーザのライセンスは、必要に応じて 50、100、または無制限に設定できます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113182