セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

カットスルーと直接の ASA 認証の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、カットスルーと直接 ASA 認証を設定する方法について説明します。

注: 著者:Blayne Dreier、Cisco TAC エンジニア

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco Adaptive Security Appliance(ASA)に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

カットスルー

カットスルーの認証では、aaa authentication include コマンドが事前に設定されています。 ここで、aaa authentication match コマンドが使用されます。 認証が必要なトラフィックは、aaa authentication match コマンドで参照されるアクセス リストで許可されます。これにより、ホストは指定されたトラフィックが ASA によって許可される前に認証されます。

Web トラフィックの認証の設定例を次に示します:

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 80

aaa authentication match authmatch inside LOCAL

HTTP が ASA が認証をインジェクトできるプロトコルであるため、このソリューションが有効であることに注意してください。 ASA は HTTP トラフィックをインターセプトし、HTTP 認証によって認証します。 認証がインラインで注入されるため、次に示すように HTTP 認証のダイアログ ボックスが Web ブラウザに表示されます:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-01.gif

直接認証

直接認証は、以前は aaa authentication include コマンドおよび virtual <protocol> コマンドで設定されていました。 現在は、aaa authentication match コマンドおよび aaa authentication listener コマンドを使用します。

認証をネイティブにサポートしていないプロトコル(つまり、認証チャレンジをインライン化できないプロトコル)の場合、直接 ASA 認証を設定できます。 デフォルトでは、ASA は認証要求をリッスンしません。 リスナーは、aaa authentication listener コマンドを使用して、特定のポートおよびインターフェイスで設定できます。

ホストが認証されると ASA を経由して TCP/3389 トラフィックを許可する設定例を次に示します:

username cisco password cisco privilege 15

access-list authmatch permit tcp any any eq 3389

access-list authmatch permit tcp any host 10.245.112.1 eq 5555

aaa authentication match authmatch inside LOCAL

aaa authentication listener http inside port 5555

リスナー(TCP/5555)が使用するポート番号をメモします。 show asp table socket コマンドの出力では、ASA が指定された(内部)インターフェイスに割り当てられた IP アドレスでこのポートに接続要求をリッスンしていることを示しています。

ciscoasa(config)# show asp table socket

Protocol  Socket    Local Address               Foreign Address         State

TCP       000574cf  10.245.112.1:5555           0.0.0.0:*               LISTEN

ciscoasa(config)#

ASA を上記のように設定すると、ASA による TCP ポート 3389 の外部ホストへの接続の試行は接続の拒否となります。 ユーザは、割り当てられる TCP/3389 トラフィックを最初に認証する必要があります。

直接認証では、ユーザが ASA を直接参照する必要があります。 http://<asa_ip>: <port> を参照すると、ASA の Web サーバのルートに Web ページが存在しないため、404 エラーが戻されます。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-02.gif

代わりに、http://<asa_ip>: <listener_port>/netaccess/connstatus.html. を直接参照する必要があります。 ログイン ページは、認証資格を提供する次の URL に存在します。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-03.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-04.gif

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-05.gif

この設定では、直接認証のトラフィックは authmatch アクセス リストの一部です。 このアクセス コントロール エントリがない場合、次のような予期しないメッセージを受信する可能性があります:User Authentication, User Authentication is not required, <listener_port>/netaccess/connstatus.html. を直接参照する必要があります。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113363-asa-cut-through-config-06.gif

正常に認証された後、TCP/3389 の外部サーバに ASA 経由で接続できます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113363