IP : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.X:デフォルト グローバル インスペクションを無効にし、デフォルト以外のアプリケーション インスペクションを有効にする

2012 年 12 月 18 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 9 月 13 日) | 英語版 (2008 年 10 月 10 日) | フィードバック

PIX/ASA 7.X:デフォルト グローバル インスペクションを無効にし、デフォルト以外のアプリケーション インスペクションを有効にする

概要

このドキュメントでは、アプリケーションのグローバル ポリシーからデフォルト インスペクションを削除する方法およびデフォルト以外のアプリケーションのインスペクションを有効にする方法を説明します。

バージョン 8.3 以降の Cisco Adaptive Security Appliance(ASA)での ASDM を使用した同等な設定の詳細について『ASA 8.3.x 以降:デフォルト グローバル インスペクションの無効化と ASDM を使用したデフォルト以外のアプリケーション インスペクションの有効化』を参照してください。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、7.x ソフトウェア イメージを実行している PIX セキュリティ アプライアンスに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用されるデバイスはすべて、初期設定(デフォルト)の状態から作業を開始しています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、7.x ソフトウェア イメージを実行している適応型セキュリティ アプライアンス(ASA)でも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

デフォルトのグローバル ポリシー

デフォルトでは、すべてのデフォルト アプリケーション インスペクション トラフィックに一致するポリシーが設定に含まれ、特定のインスペクションがすべてのインターフェイスのトラフィックに適用されます(グローバル ポリシー)。すべてのインスペクションがデフォルトでイネーブルになっているわけではありません。適用できるグローバル ポリシーは 1 つだけです。グローバル ポリシーを変更する場合は、デフォルト ポリシーを編集するか無効にし、新しいポリシーを適用する必要があります。(インターフェイス ポリシーはグローバル ポリシーに優先します)。

デフォルト ポリシー設定には、次のコマンドが含まれています。

class-map inspection_default
 match default-inspection-traffic
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
service-policy global_policy global

アプリケーションのデフォルト グローバル インスペクションを無効にする

アプリケーションのグローバル インスペクションを無効にするには、inspect コマンドの no バージョンを使用します。

たとえば、セキュリティ アプライアンスでリッスンする FTP アプリケーションのグローバル インスペクションを削除するには、クラス コンフィギュレーション モードで no inspect ftp コマンドを使用します。

クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。設定を削除するには、このコマンドの no 形式を使用します。

pixfirewall(config)#policy-map global_policy
pixfirewall(config-pmap)#class inspection_default
pixfirewall(config-pmap-c)#no inspect ftp

注:FTP インスペクションの詳細については、『PIX/ASA 7.x:FTP/TFTP サービスをイネーブルにする設定例』を参照してください。

デフォルト以外のアプリケーションのインスペクションを有効にする

拡張 HTTP インスペクションは、デフォルトではディセーブルになっています。

HTTP アプリケーション インスペクションを有効にするか、セキュリティ アプライアンスでリッスンするポートを変更するには、クラス コンフィギュレーション モードで inspect http コマンドを使用します。

クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。設定を削除するには、このコマンドの no 形式を使用します。

inspect http コマンドを http-map 引数と組み合わせて使用した場合は、特定の攻撃および HTTP トラフィックに関連する可能性のあるその他の脅威から保護されます。

inspect http コマンドと一緒に http-map 引数を使用する方法の詳細については、『inspect ctiqbe コマンドから inspect xdmcp コマンド』の「inspect http」セクションを参照してください。

注:一部の URL で二重エンコードが使用されていると、ここに示すエラー メッセージが表示されます。このタイプの Web サイトへのアクセスを許可する必要がある場合は、厳密な HTTP インスペクションを無効にすることにより、この問題を解決できます。

"%PIX-4-415012:15 HTTP Deobfuscation signature detected - Reset HTTP deobfuscation
detected IDS evasion technique from x.x.x.x to y.y.y.y

注:ここで、x.x.x.x および y.y.y.y は IP アドレスを表します。

この例では、任意のインターフェイスを通過してセキュリティ アプライアンスに入るすべての HTTP 接続(ポート 80 の TCP トラフィック)が HTTP インスペクション対象として分類されます。このポリシーはグローバル ポリシーであるため、インスペクションが発生するのは各インターフェイスにトラフィックが入ったときだけです

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy global

この例では、セキュリティ アプライアンスを出入りする HTTP 接続(ポート 80 の TCP トラフィック)で外部インターフェイスを通過するすべての接続が HTTP インスペクション対象として分類されます

hostname(config)#class-map http_traffic
hostname(config-cmap)#match port tcp eq 80
hostname(config)#policy-map http_traffic_policy
hostname(config-pmap)#class http_traffic
hostname(config-pmap-c)#inspect http
hostname(config)#service-policy http_traffic_policy interface outside

次に、HTTP トラフィックを識別し、HTTP マップを定義して、ポリシーを定義し、外部インターフェイスにポリシーを適用する例を示します。


hostname(config)#class-map http-port 
hostname(config-cmap)#match port tcp eq 80
hostname(config-cmap)#exit
hostname(config)#http-map inbound_http
hostname(config-http-map)#content-length min 100 max 2000 action reset log
hostname(config-http-map)#content-type-verification match-req-rsp reset log
hostname(config-http-map)#max-header-length request bytes 100 action log reset
hostname(config-http-map)#max-uri-length 100 action reset log
hostname(config-http-map)#exit
hostname(config)#policy-map inbound_policy 
hostname(config-pmap)#class http-port
hostname(config-pmap-c)#inspect http inbound_http 
hostname(config-pmap-c)#exit
hostname(config-pmap)#exit
hostname(config)#service-policy inbound_policy interface outside

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 91891