セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA/PIX:インターネットからのネットワーク トラフィックを許可して Microsoft メディア サーバ(MMS)/ストリーミング ビデオにアクセスする設定例

2013 年 9 月 3 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 5 月 26 日) | フィードバック

概要

このドキュメントでは、適応型セキュリティ アプライアンス(ASA)の内部ネットワークに配置された Microsoft メディア サーバ(MMS)またはストリーミング ビデオへクライアントまたはユーザがインターネットからアクセスできるように ASA を設定する方法について説明します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • ASA に関する基本的設定

  • MMS の設定と正常な動作

使用するコンポーネント

このドキュメントの情報は、ソフトウェア バージョン 7.x 以降が稼働する Cisco ASA に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

このドキュメントの情報は、ソフトウェア バージョン 7.x 以降が稼働する Cisco PIX ファイアウォールにも適用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Windows Media Services 9 シリーズのファイアウォールに関する情報

ストリーミング メディア プロトコルの使用

Microsoft® Windows Media®Services 9 シリーズは、次の 2 種類のストリーミング メディア プロトコルを使用して、クライアントにユニキャスト ストリームとしてコンテンツを提供します。

  • リアルタイム ストリーミング プロトコル(RTSP)

  • Microsoft メディア サーバ(MMS)プロトコル

これらプロトコルは、インデックスが付けられた Windows Media ファイルに対する停止、一時停止、巻き戻し、早送りなどのクライアント制御機能をサポートします。

RTSP は、音声やビデオ コンテンツなどのリアルタイム データを配信制御するために特別に作成されたアプリケーション レイヤ プロトコルです。この RSTP を使用して、Windows Media Player 9 以降が動作するコンピュータ、Windows Media Player 9 シリーズ ActiveX® コントロールを使用するクライアント、または Windows Media Services 9 シリーズが動作するその他コンピュータにコンテンツをストリーミングすることができます。RTSP は、リアルタイム転送プロトコル(RTP)と連携してマルチメディア コンテンツのパケットをフォーマットし、クライアントへのストリーミング時にユーザ データグラム プロトコル(UDP)とトランスポート制御プロトコル(TCP)のうち、より効率的ないずれかのトランスポート レイヤ プロトコルをネゴシエートします。RTSP は、Windows Media Services アドミニストレータ内の WMS RTSP サーバ制御プロトコル プラグインから実装できます。このプラグインはデフォルトで有効になっています。

MMS は、Windows Media Services の前のバージョンで開発された独自のアプリケーション レイヤ プロトコルです。この MMS を使用して、Windows® XP 以前の Windows Media Player が動作するコンピュータにコンテンツをストリーミングできます。MMS は、Windows Media Services アドミニストレータ内の WMS MMS サーバ制御プロトコル プラグインから実装できます。このプラグインはデフォルトで有効になっています。

HTTP の使用

ファイアウォールのポートを開放できない場合、Windows Media® Services はポート 80 で HTTP を使用してコンテンツをストリーミングすることが可能です。HTTP を使用すると、すべての Windows Media Player バージョンにストリーミングできます。HTTP は、Windows Media Services アドミニストレータ内の WMS HTTP サーバ制御プロトコル プラグインから実装できます。このプラグインはデフォルトで有効になっていません。Internet Information Services(IIS)などの他のサービスが同じ IP アドレスでポート 80 を使用している場合は、このプラグインを有効にできません。

このほか、HTTP は次の用途で利用できます。

  • Windows Media サーバ間でストリーミング配信する

  • Windows Media エンコーダからコンテンツを調達する

  • 動的に生成されたプレイリストを Web サーバからダウンロードする

これらの HTTP ストリーミング シナリオをサポートする場合は、Windows Media Services アドミニストレータでデータ ソース プラグインを設定する必要があります。

プロトコル ロールオーバーについて

Windows Media® Services が稼働するサーバに対して RTSP 接続をサポートするクライアントが、RTSP URL モニカ(rtsp:// など)または MMS URL モニカ(mms:// など)を使用してアクセスするとき、サーバは最適なストリーミング エクスペリンスを実現するためにプロトコル ロールオーバーでクライアントへコンテンツをストリーミングします。サーバは、クライアントの最適なストリーミング エクスペリンスを実現するために適したプロトコルをネゴシエートします。このとき、UDP ベース転送または TCP ベース転送(RTSPU または RTSPT)、あるいは(WMS HTTP サーバ制御プロトコル プラグインが有効な場合に)HTTP を使用して、RTSP/MMS から RTSP に対する自動プロトコル ロールオーバーが発生することがあります。RTSP をサポートするクライアントには、Windows Media Player 9 シリーズ以降、または Windows Media Player 9 シリーズ ActiveX コントロールが含まれます。

Windows Media Player for Windows XP などの以前の Windows Media Player バージョンでは、RTSP プロトコルをサポートしていません。ただし、これらのクライアントには MMS プロトコルがプロトコル ロールオーバーを提供します。したがって、以前の Windows Media Player が MMS URL モニカを使用してサーバに接続を試みた場合、サーバが最適なプロトコルをネゴシエートして、これらのクライアントに最適なストリーミング エクスペリンスを提供しようと試みたとき、MMS は UDP ベース転送または TCP ベース転送(MMSU または MMST)、あるいは(WMS HTTP サーバ制御プロトコル プラグインが有効な場合に)HTTP を使用して、MMS から MMS に対する自動プロトコル ロールオーバー発生することがあります。

サーバに接続されたすべてのクライアントにコンテンツを配信するには、プロトコル ロールオーバーで使用する接続プロトコルすべてに対してファイアウォールのポートを開放する必要があります。

アナウンスメント ファイル(rtspu://server/publishing_point/file など)で用いられているプロトコルがわかる場合は、Windows Media サーバで特定のプロトコルを使用するように強制できます。すべてのクライアントのバージョンで最適なストリーミング エクスペリンスを実現するためにも、URL では一般的な MMS プロトコルの使用することを推奨します。クライアントが MMS URL モニカの URL からストリームに接続すると、必要なプロトコル ロールオーバーが自動的に実行されます。なお、ユーザは Windows Media Player のプロパティ設定でストリーミング プロトコルを無効にできる点にご注意ください。ユーザがプロトコルを無効に設定していると、ロールオーバーはスキップされます。たとえば、HTTP が無効な場合、URL は HTTP にロールオーバーされません。

Windows Media Services へのポート割り当て

ほとんどのファイアウォールは、サーバへの「着信トラフィック」を制御するために使用されています。つまり、一般的にはクライアントへの「発信トラフィック」を制御しないということです。ファイアウォールの発信トラフィック用ポートは、より強固なセキュリティ ポリシーがサーバ ネットワークで実装されている場合に、閉じていることがあります。このセクションでは、必要に応じてすべてのポートで設定できるように、着信トラフィックと発信トラフィック(表では「着信」「発信」と表記)の両方で Windows Media® Services を配信するデフォルトのポート割り当てについて説明します。

一部のシナリオでは、発信トラフィックを利用可能なポート範囲のうちの 1 つに宛てることができます。表のポート範囲は、利用可能な全範囲を示しています。もちろん、ポート範囲よりも少ないポートに割り当てても問題はありません。開放するポート数を決定するときは、アクセシビリティとセキュリティのバランスを考えて、すべてのクライアントが接続するために十分な数だけ開放するようにします。最初に、Windows Media Services で使用する予定のポート数を決定し、その他のプログラムとのオーバーラップを想定して、さらに 10 % 多い数のポートを開放します。ポート数が決まったら、トラフィックをモニタして必要な調整があるかどうかを確認します。

ポート範囲に制限があると、Windows Media Services だけでなく、システムを共有するリモート プロシージャ コール(RPC)や分散コンポーネント オブジェクト モデル(DCOM)アプリケーションのすべてに影響が及びます。割り当てたポート範囲が十分でないと、IIS などの競合サービスがランダム エラーにより失敗する可能性があります。ポート範囲は、RPC、COM、または DCOM サービスを使用する可能性のあるすべてのシステム アプリケーションに対応できるよう、十分に幅をとっておく必要があります。

Windows Media Services アドミニストレータのサーバ制御プロトコル プラグイン(RTSP、MMS、HTTP)をそれぞれ設定して特定のポートを使用すると、簡単にファイアウォールを設定することができます。すでにネットワーク管理者が Windows Media サーバ用に一連のポートを開放している場合は、これらのポートを制御プロトコルへ適宜割り当てられます。まだ開放されていない場合は、ネットワーク管理者に各プロトコルのデフォルト ポートを開放するように依頼します。万一ポートを開放できない場合、Windows Media Services では、ポート 80 で HTTP プロトコルを使用してコンテンツをストリーミングできます。

次に、ユニキャスト ストリームを配信するために Windows Media Services 向けに割り当てられたデフォルトのファイアウォール ポートを示します。

アプリケーション プロトコル プロトコル ポート 説明
RTSP TCP 554(着信/発信) クライアント接続の着信 RTSP を許可し、RTSPT でストリーミングするクライアント宛てにデータ パケットを配信する場合に使用します。
RTSP UDP 5004(発信) RTSPU でストリーミングするクライアント宛てにデータ パケットを配信する場合に使用します。
RTSP UDP 5005(着信/発信) クライアントからのパケット損失情報を受信し、RTSPU でストリーミングするクライアント宛てに同期情報を提供する場合に使用します。
MMS TCP 1755(着信/発信) クライアント接続の着信 MMS を許可し、MMST でストリーミングするクライアント宛てにデータ パケットを配信する場合に使用します。
MMS UDP 1755(着信/発信) クライアントからのパケット損失情報を受信し、MMSU でストリーミングするクライアント宛てに同期情報を提供する場合に使用します。
MMS UDP 1024 〜 5000(発信) NMSU でストリーミングするクライアント宛てにデータ パケットを配信する場合に使用します。必要なポート数のみを開放します。
HTTP TCP 80(着信/発信) クライアント接続の着信 HTTP を許可し、HTTP でストリーミングするクライアント宛てにデータ パケットを配信する場合に使用します。

サーバに接続されたすべてのクライアント バージョンに対してコンテンツを配信できるようにするには、プロトコル ロールオーバーで使用可能な接続プロトコルすべてに対して、表に示された全ポートを開放する必要があります。Windows Server™ 2003 Service Pack 1(SP1)が稼働するコンピュータ上で Windows Media Services を実行する場合、手動でファイアウォールのポートを開放するのではなく、Windows ファイアウォールに Windows Media Services プログラム(wmserver.exe)を例外として追加し、ユニキャスト ストリーミング用にデフォルトの着信ポートを開放します。

注: MSM ファイアウォール設定の詳細については、Microsoft の Web サイト leavingcisco.comを参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/100308/ASAMMS-1.gif

注: この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらは RFC 1918 で使用されているアドレスであり、ラボ環境で使用されたものです。

コンフィギュレーション

このドキュメントでは、次の設定を使用します。

ASA の設定
CiscoASA#Show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!

!--- 出力を省略

access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit udp any host
 192.168.1.5 eq 1755

!--- MMS UDP ポートを開放するコマンド

access-list outside_access_in extended permit tcp any host
 192.168.1.5 eq 1755

!--- MMS TCP ポートを開放するコマンド

access-list outside_access_in extended permit udp any host
 192.168.1.5 eq 5005

!--- RTSP UDP ポートを開放するコマンド

access-list outside_access_in extended permit tcp any host
 192.168.1.5 eq www

!--- HTTP ポートを開放するコマンド

access-list outside_access_in extended permit tcp any host
 192.168.1.5 eq rtsp

!--- RTSP TCP ポートを開放するコマンド


!--- 出力を省略

static (inside,outside) 192.168.1.5 10.1.1.5 netmask
 255.255.255.255

!--- マッピングされた IP 192.168.1.5 を 
変換済みの MMS の
IP 10.1.1.5 に変換

access-group outside_access_in in interface outside

!--- 出力を省略

telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp

!--- RTSP 検査はデフォルトでイネーブルに設定

  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global

確認

このセクションでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

  • Show access-list—:ASA/PIX 内で設定された ACL を表示します。

    ciscoASA#show access-list
    access-list outside_access_in; 6 elements
    access-list outside_access_in line 1 extended permit 
       icmp any any (hitcnt=0) 0x71af81e1
    access-list outside_access_in line 2 extended permit 
       udp any host 192.168.1.5 eq 1755 (hitcnt=0) 0x4
    2606263
    access-list outside_access_in line 3 extended permit 
       tcp any host 192.168.1.5 eq 1755 (hitcnt=0) 0xa
    0161e75
    access-list outside_access_in line 4 extended permit 
       udp any host 192.168.1.5 eq 5005 (hitcnt=0) 0x3
    90e9949
    access-list outside_access_in line 5 extended permit 
       tcp any host 192.168.1.5 eq www (hitcnt=0) 0xe5
    db0efc
    access-list outside_access_in line 6 extended permit 
       tcp any host 192.168.1.5 eq rtsp (hitcnt=0) 0x5
    6fa336f
  • Show nat—:NAT ポリシーとカウンターを表示します。

    ciscoASA(config)#show nat
    NAT policies on Interface inside:
      match ip inside host 10.1.1.5 outside any
        static translation to 192.168.1.5
        translate_hits = 0, untranslate_hits = 0

ストリーミング ビデオのトラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

RTSP が ASA でデフォルト設定されているか検査します。セキュリティ アプライアンスでは、埋め込み IP アドレスが HTTP メッセージまたは RTSP メッセージの一部として SDP ファイルに含まれているので、RTSP メッセージ上で NAT を実行できずに、MMS トラフィックが切断されます。また、セキュリティ アプライアンスはフラグメント化されたパケット上で NAT を実行できません。

回避策: この問題は、次に示す特定の MMS トラフィックで RTSP 検査をディセーブルにすると回避できます。

access-list rtsp-acl extended deny tcp 
   any host 192.168.1.5 eq 554
access-list rtsp-acl extended permit tcp any any eq 554
class-map rtsp-traffic
match access-list rtsp-acl
policy-map global_policy
class inspection_default
no inspect rtsp
class rtsp-traffic
inspect rtsp

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 100308