Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
HTTPS 認証プロキシのファイアウォール サ ポート
HTTPS 認証プロキシのファイアウォール サポート
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

HTTPS 認証プロキシのファイアウォール サポート

機能情報の確認

この章の構成

HTTPS 認証プロキシのファイアウォール サポートの前提条件

HTTPS 認証プロキシのファイアウォール サポートの制約事項

HTTPS 認証プロキシのファイアウォール サポートに関する情報

認証プロキシ

HTTPS 認証プロキシの機能設計

HTTPS 認証プロキシの使用方法

HTTPS サーバの設定

前提条件

この次の手順

HTTPS 認証プロキシの確認

HTTPS 認証プロキシのファイアウォール サポートのモニタ

HTTPS 認証プロキシの設定例

HTTPS 認証プロキシ サポートの例

RADIUS ユーザ プロファイル例

TACACS ユーザ プロファイル例

HTTPS 認証プロキシのデバッグ例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

HTTPS 認証プロキシのファイアウォール サポートの機能情報

用語集

HTTPS 認証プロキシのファイアウォール サポート

HTTPS 認証プロキシのファイアウォール サポート機能を使用すると、Cisco IOS ファイアウォールで認証プロキシがイネーブルになっている場合に、HTTP クライアントと Cisco IOS ルータの間でのユーザ名とパスワードの変更を、Secure Socket Layer(SSL)によって暗号化できるため、HTTP クライアントと Cisco IOS ルータの間でやり取りされるデータの機密性を高めることができます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「HTTPS 認証プロキシのファイアウォール サポートの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

HTTPS 認証プロキシのファイアウォール サポートの前提条件

この機能をイネーブルにする前に、ルータが k8 および k9 指定の暗号イメージを実行していることと、使用している Cisco IOS イメージで SSL がサポートされていることを確認します。

HTTPS 認証プロキシのファイアウォール サポートの制約事項

Port to Application Mapping(PAM; ポート ツー アプリケーション マッピング)の設定は Cisco IOS Firewall 処理で許可されているものの、認証プロキシはルータの HTTP サブシステムによって設定されたサーバ ポートに制限されます。

適切な TCP 接続ハンドシェイクに従うために、認証プロキシのログインページは、元の要求と同じポートおよびアドレスから返されます。SSL 上での HTTP(HTTPS)の使用が強制されるのは、HTTP クライアントのユーザ名とパスワードを含む post 要求だけです。

HTTPS 認証プロキシのファイアウォール サポートに関する情報

HTTPS 認証プロキシのファイアウォール サポート機能を設定するには、次の概念について理解する必要があります。

「認証プロキシ」

「HTTPS 認証プロキシの機能設計」

認証プロキシ

認証プロキシは、Cisco Secure Integrated Software(Cisco IOS Firewall とも呼びます)を通じて、認可されたユーザに対してインターネット アクセスを許可します。適切な識別処理が完了し、設定されている Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバからユーザ ポリシーが取得された後、ユーザごとにアクセスが許可されます。

Cisco ルータで認証プロキシがイネーブルになっている場合、ユーザは、ネットワークにログインしたり HTTP(S)を通じてインターネットにアクセスしたりできます。ユーザがファイアウォールを経由して HTTP(S)セッションを開始すると、認証プロキシが起動されます。認証プロキシは、まずユーザが認証済みかどうかを確認します。ユーザの有効な認証エントリが存在する場合、認証プロキシによるそれ以上の介入なしに接続が完了します。エントリが存在しない場合、認証プロキシは HTTP(S)接続要求に対し、ユーザ名とパスワードの入力を求める応答を返します。認証が完了すると、固有のアクセス プロファイルが CiscoSecure Access Control Server(ACS)または他の RADIUS または TACACS+ 認証サーバから取得されて適用されます。ユーザ プロファイルは、認証されたユーザからのアクティブ トラフィックが存在するときにのみ、アクティブになります。

HTTPS 認証プロキシの機能設計

HTTPS を使用した認証プロキシのサポートでは、HTTPS クライアントと Cisco IOS ルータの間でユーザ名とパスワードをやり取りするときに暗号化が行われ、信頼できるエンティティ間のセキュアな通信が確保されます。

図 1 および対応する手順では、クライアントが HTTP 要求を発行してから Cisco IOS ルータからの応答を受信するまでの、データの流れについて説明します。

図 1 HTTPS 認証プロキシのデータ フロー

 

 

1. HTTP クライアントまたは HTTPS クライアントが Web ページを要求します。

2. HTTP 要求または HTTPS 要求は、認証プロキシが動作する Cisco IOS ルータで代行受信されます。

3. 認証が必要な場合、ルータは TCP/IP 接続をマークし、要求(およびクライアント アドレス)を Web サーバに送信します。

4. Web サーバは認証要求フォームを構築し、元の要求プロトコル(HTTP または HTTPS)を通じて HTTP または HTTPS クライアントに送信します。

5. HTTP または HTTPS クライアントは認証要求フォームを受信します。

6. ユーザは自分のユーザ名とパスワードを HTTPS POST フォームに入力し、フォームをルータに返します。このとき、認証ユーザ名とパスワード フォームは HTTPS 経由で送信されます。Web サーバは新しい SSL 接続を HTTPS クライアントとネゴシエートします。


) 使用している Cisco IOS イメージが HTTPS をサポートしており、HTTPS が設定されている必要があります。そうでない場合、HTTP 要求フォームが生成されます。


7. ルータは HTTPS POST フォームを HTTPS クライアントから受信し、ユーザ名とパスワードを取得します。

8. ルータは、クライアント認証のために、ユーザ名とパスワードを AAA サーバに送信します。

9. AAA サーバは、ユーザ名とパスワードを検証した場合、設定されているユーザ プロファイルをルータに送信します(ユーザ名とパスワードを検証できない場合、エラーが生成されてルータに送信されます)。

10. ルータが AAA サーバからユーザ プロファイルを受信すると、アクセス リストをユーザ プロファイルで更新し、成功の Web ページを HTTPS クライアントに返します(ルータが AAA サーバからエラーを受信した場合、エラーの Web ページを HTTPS クライアントに返します)。

11. HTTPS クライアントが成功の Web ページを受信した後、元の要求を再試行します。その後の HTTPS トラフィックは、HTTPS クライアント要求で決まります。ルータの介入は発生しません。

HTTPS 認証プロキシの使用方法

HTTPS 認証プロキシをイネーブルにするには、AAA サービスをイネーブルにし、HTTPS サーバを設定し、認証プロキシをイネーブルにする必要があります。ここでは、次の各手順について説明します。

「HTTPS サーバの設定」

「HTTPS 認証プロキシの確認」

HTTPS サーバの設定

HTTPS 認証プロキシを使用するには、ファイアウォールで HTTPS サーバをイネーブルにし、HTTPS サーバの認証方式を、AAA を使用するように設定する必要があります。

前提条件

HTTPS サーバを設定する前に、AAA をイネーブルにし、RADIUS または TACACS+ サーバを設定することで、AAA サービス用の認証プロキシを設定する必要があります。Certification Authority(CA; 認証局)の証明書も取得する必要があります。これらの作業の詳細については、「関連資料」を参照してください。

手順の概要

1. enable

2. configure terminal

3. ip http server

4. ip http authentication aaa

5. ip http secure-server

6. ip http secure-trustpoint name

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip http server

 

Router (config)# ip http server

ルータ上で HTTP サーバをイネーブルにします。

認証プロキシは HTTP サーバを使用してクライアントと通信し、ユーザ認証を行います。

ステップ 4

ip http authentication aaa

 

Router (config)# ip http authentication aaa

HTTP サーバの認証方式を AAA に設定します。

ステップ 5

ip http secure-server

 

Router (config)# ip http secure-server

HTTPS をイネーブルにします。

ステップ 6

ip http secure-trustpoint name

 

Router (config)# ip http secure-trustpoint netCA

HTTP セキュア サーバ証明書トラストポイントをイネーブルにします。

この次の手順

HTTPS サーバの設定が終了したら、認証プロキシを設定する必要があります(グローバルおよびインターフェイスごと)。この作業の詳細については、「関連資料」を参照してください

HTTPS 認証プロキシの確認

HTTPS 認証プロキシの設定を確認するには、オプションで次の手順を実行します。

手順の概要

1. enable

2. show ip auth-proxy configuration

3. show ip auth-proxy cache

4. show ip http server secure status

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip auth-proxy configuration

 

Router# show ip auth-proxy configuration

現在の認証プロキシの設定を表示します。

ステップ 3

show ip auth-proxy cache

 

Router# show ip auth-proxy cache

ユーザ認証エントリのリストを表示します。

認証プロキシ キャッシュにより、ホストの IP アドレス、送信元ポート番号、認証プロキシのタイムアウト値、接続の状態が一覧表示されます。認証プロキシの状態が HTTP_ESTAB の場合、ユーザ認証が成功したことを示します。

ステップ 4

show ip http server secure status

 

Router# show ip http server secure status

HTTPS のステータスを表示します。

HTTPS 認証プロキシのファイアウォール サポートのモニタ

HTTPS 認証プロキシの設定をトラブルシューティングするには、次の手順を実行します。

手順の概要

1. enable

2. debug ip auth-proxy detailed

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug ip auth-proxy detailed

 

Router# debug ip auth-proxy detailed

ルータ上の認証プロキシの設定情報を表示します。

HTTPS 認証プロキシの設定例

ここでは、次の設定例について詳しく説明します。

「HTTPS 認証プロキシ サポートの例」

「RADIUS ユーザ プロファイル例」

「TACACS ユーザ プロファイル例」

「HTTPS 認証プロキシのデバッグ例」

HTTPS 認証プロキシ サポートの例

次に、 show running-config コマンドからの出力例を示します。この例は、Cisco IOS ルータで HTTPS 認証プロキシをイネーブルにする方法を示しています。

Router# show running-config
 
Building configuration...
 
Current configuration : 6128 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 7200a
!
boot system disk0:c7200-ik9o3s-mz.emweb
aaa new-model
!
!
aaa authentication login default group tacacs+ group radius
aaa authorization auth-proxy default group tacacs+ group radius
aaa session-id common
!
ip subnet-zero
ip cef
!
!
ip domain name cisco.com
!
ip auth-proxy auth-proxy-banner
ip auth-proxy auth-cache-time 3
ip auth-proxy name authname http
ip audit notify log
ip audit po max-events 100
!
! Obtain a CA certificate.
crypto ca trustpoint netCA
enrollment mode ra
enrollment url http://10.3.10.228:80/certsrv/mscep/mscep.dll
subject-name CN=7200a.cisco.com
crl optional
crypto ca certificate chain netCA
certificate ca 0702EFC30EC4B18D471CD4531FF77E29
308202C5 3082026F A0030201 02021007 02EFC30E C4B18D47 1CD4531F F77E2930
0D06092A 864886F7 0D010105 0500306D 310B3009 06035504 06130255 53310B30
09060355 04081302 434F3110 300E0603 55040713 07426F75 6C646572 31163014
06035504 0A130D43 6973636F 20537973 74656D73 310C300A 06035504 0B130349
54443119 30170603 55040313 10495444 20426F75 6C646572 202D2043 41301E17
0D303230 31323532 33343434 375A170D 31323031 32353233 35343333 5A306D31
0B300906 03550406 13025553 310B3009 06035504 08130243 4F311030 0E060355
04071307 426F756C 64657231 16301406 0355040A 130D4369 73636F20 53797374
656D7331 0C300A06 0355040B 13034954 44311930 17060355 04031310 49544420
426F756C 64657220 2D204341 305C300D 06092A86 4886F70D 01010105 00034B00
30480241 00B896F0 7CE9DCBD 59812309 1793C610 CEC83704 D56C29CA 3E8FAC7A
A113520C E15E3DEF 64909FB9 88CD43BD C7DFBAD6 6D523804 3D958A97 9733EE71
114D8F3F 8B020301 0001A381 EA3081E7 300B0603 551D0F04 04030201 C6300F06
03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604 14479FE0 968DAD8A
46774122 2276C19B 6800FA3C 79308195 0603551D 1F04818D 30818A30 42A040A0
3E863C68 7474703A 2F2F6369 73636F2D 736A7477 77383779 792F4365 7274456E
726F6C6C 2F495444 25323042 6F756C64 65722532 302D2532 3043412E 63726C30
44A042A0 40863E66 696C653A 2F2F5C5C 63697363 6F2D736A 74777738 3779795C
43657274 456E726F 6C6C5C49 54442532 30426F75 6C646572 2532302D 25323043
412E6372 6C301006 092B0601 04018237 15010403 02010030 0D06092A 864886F7
0D010105 05000341 0044DE07 3964E080 09050906 512D40C0 D4D86A0A 6B33E752
6E602D96 3F68BB8E 463E3EF6 D29BE400 615E7226 87DE1DE3 96AE23EF E076EE60
BF789728 5ED0D5FC 2C
quit
certificate 55A4795100000000000D
308203FC 308203A6 A0030201 02020A55 A4795100 00000000 0D300D06 092A8648
86F70D01 01050500 306D310B 30090603 55040613 02555331 0B300906 03550408
1302434F 3110300E 06035504 07130742 6F756C64 65723116 30140603 55040A13
0D436973 636F2053 79737465 6D73310C 300A0603 55040B13 03495444 31193017
06035504 03131049 54442042 6F756C64 6572202D 20434130 1E170D30 32303631
38323030 3035325A 170D3033 30363138 32303130 35325A30 3A311E30 1C06092A
864886F7 0D010902 130F3732 3030612E 63697363 6F2E636F 6D311830 16060355
0403130F 37323030 612E6369 73636F2E 636F6D30 5C300D06 092A8648 86F70D01
01010500 034B0030 48024100 F61D6551 77F9CABD BC3ACAAC D564AE53 541A40AE
B89B6215 6A6D8D88 831F672E 66678331 177AF07A F476CD59 E535DAD2 C145E41D
BF33BEB5 83DF2A39 887A05BF 02030100 01A38202 59308202 55300B06 03551D0F
04040302 05A0301D 0603551D 0E041604 147056C6 ECE3A7A4 E4F9AFF9 20F23970
3F8A7BED 323081A6 0603551D 2304819E 30819B80 14479FE0 968DAD8A 46774122
2276C19B 6800FA3C 79A171A4 6F306D31 0B300906 03550406 13025553 310B3009
06035504 08130243 4F311030 0E060355 04071307 426F756C 64657231 16301406
0355040A 130D4369 73636F20 53797374 656D7331 0C300A06 0355040B 13034954
44311930 17060355 04031310 49544420 426F756C 64657220 2D204341 82100702
EFC30EC4 B18D471C D4531FF7 7E29301D 0603551D 110101FF 04133011 820F3732
3030612E 63697363 6F2E636F 6D308195 0603551D 1F04818D 30818A30 42A040A0
3E863C68 7474703A 2F2F6369 73636F2D 736A7477 77383779 792F4365 7274456E
726F6C6C 2F495444 25323042 6F756C64 65722532 302D2532 3043412E 63726C30
44A042A0 40863E66 696C653A 2F2F5C5C 63697363 6F2D736A 74777738 3779795C
43657274 456E726F 6C6C5C49 54442532 30426F75 6C646572 2532302D 25323043
412E6372 6C3081C6 06082B06 01050507 01010481 B93081B6 30580608 2B060105
05073002 864C6874 74703A2F 2F636973 636F2D73 6A747777 38377979 2F436572
74456E72 6F6C6C2F 63697363 6F2D736A 74777738 3779795F 49544425 3230426F
756C6465 72253230 2D253230 43412E63 7274305A 06082B06 01050507 3002864E
66696C65 3A2F2F5C 5C636973 636F2D73 6A747777 38377979 5C436572 74456E72
6F6C6C5C 63697363 6F2D736A 74777738 3779795F 49544425 3230426F 756C6465
72253230 2D253230 43412E63 7274300D 06092A86 4886F70D 01010505 00034100
9BAE173E 337CAD74 E95D5382 A5DF7D3C 91F69832 761E374C 0E1E4FD6 EBDE59F6
5B8D0745 32C3233F 25CF45FE DEEEB73E 8E5AD908 BF7008F8 BB957163 D63D31AF
quit
!!
!
voice call carrier capacity active
!
!
interface FastEthernet0/0
ip address 192.168.126.33 255.255.255.0
duplex half
no cdp enable
!
interface ATM1/0
no ip address
shutdown
no atm ilmi-keepalive
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
no cdp enable
!
interface FastEthernet3/0
ip address 192.168.26.33 255.255.255.0
! Configure auth-proxy interface.
ip auth-proxy authname
duplex half
no cdp enable
!
interface FastEthernet4/0
ip address 10.3.10.46 255.255.0.0
duplex half
no cdp enable
!
interface FastEthernet4/0.1
!
ip nat inside source static 192.168.26.2 192.168.26.25
ip classless
! Configure the HTTPS server.
ip http server
ip http authentication aaa
ip http secure-trustpoint netCA
ip http secure-server
ip pim bidir-enable
!
!
access-list 101 deny tcp any any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
! Configure AAA and RADIUS server.
tacacs-server host 192.168.126.3
tacacs-server key letmein
!
radius-server host 192.168.126.2 auth-port 1645 acct-port 1646
radius-server retransmit 3
radius-server key letmein
radius-server authorization permit missing Service-Type
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!!
!
gatekeeper
shutdown
!
!
line con 0
line aux 0
line vty 0 4
password letmein
!
!
end

RADIUS ユーザ プロファイル例

次に、Livingston RADIUS の RADIUS ユーザ プロファイルの例を示します。

#--------------- Proxy user ---------------------------------
 
http Password = “test” User-Service-Type=Outbound-User
cisco-avpair = “auth-proxy:priv-lvl=15”,
cisco-avpair = “auth-proxy:proxyacl#3=permit tcp any any eq 23”
 
http_1 Password = “test”
User-Service-Type = Shell-User,
User-Service-Type=Dialout-Framed-User,
cisco-avpair = “shell:priv-lvl=15”,
cisco-avpair = “shell:inacl#4=permit tcp any host 192.168.134.216
eq 23
cisco-avpair = “auth-proxy:priv-lvl=15”,
cisco-avpair = “auth-proxy:proxyacl#3=permit tcp any any eq 23”
 
 
http_fail Password = “test” User-Service-Type=Outbound-User
cisco-avpair = “auth-proxy:priv-lvl=14”,
cisco-avpair = “auth-proxy:proxyacl#3=permit tcp any any eq 23”
 
proxy Password = “cisco” User-Service-Type=Outbound-User cisco-avpair = “auth-proxy:proxyacl#4=permit tcp any any eq 20”

TACACS ユーザ プロファイル例

次に、TACACS ユーザ プロファイルの例を示します。

default authorization = permit
key = cisco
user = http_1 {
default service = permit
login = cleartext test
service = exec
{
priv-lvl = 15
inacl#4=”permit tcp any host 192.168.134.216 eq 23”
inacl#5=”permit tcp any host 192.168.134.216 eq 20”
inacl#6=”permit tcp any host 192.168.134.216 eq 21”
inacl#3=”deny -1”
 
}
service = auth-proxy
{
priv-lvl=15
proxyacl#4=”permit tcp any host 192.168.105.216 eq 23”
proxyacl#5=”permit tcp any host 192.168.105.216 eq 20”
proxyacl#6=”permit tcp any host 192.168.105.216 eq 21”
proxyacl#7=”permit tcp any host 192.168.105.216 eq 25”
}
 
}
user = http {
login = cleartext test
service = auth-proxy
{
priv-lvl=15
proxyacl#4=”permit tcp any host 192.168.105.216 eq 23”
proxyacl#5=”permit tcp any host 192.168.105.216 eq 20”
proxyacl#6=”permit tcp any host 192.168.105.216 eq 21”
}
}
user = proxy_1 {
login = cleartext test
service = auth-proxy
{
priv-lvl=14
}
}
 
user = proxy_3 {
login = cleartext test
service = auth-proxy
{
priv-lvl=15

HTTPS 認証プロキシのデバッグ例

次に、 debug ip auth-proxy detailed コマンドの出力例を示します。

*Mar 1 21:18:18.534: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:18.534: SYN SEQ 462612879 LEN 0
*Mar 1 21:18:18.534: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3061
*Mar 1 21:18:18.538: AUTH-PROXY:auth_proxy_half_open_count++ 1
*Mar 1 21:18:18.542: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:18.542: ACK 3715697587 SEQ 462612880 LEN 0
*Mar 1 21:18:18.542: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3061
*Mar 1 21:18:18.542: clientport 3061 state 0
*Mar 1 21:18:18.542: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:18.542: PSH ACK 3715697587 SEQ 462612880 LEN 250
*Mar 1 21:18:18.542: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3061
*Mar 1 21:18:18.542: clientport 3061 state 0
*Mar 1 21:18:18.554: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:18.554: ACK 3715698659 SEQ 462613130 LEN 0
*Mar 1 21:18:18.554: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3061
*Mar 1 21:18:18.554: clientport 3061 state 0
*Mar 1 21:18:18.610: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:18.610: ACK 3715698746 SEQ 462613130 LEN 0
*Mar 1 21:18:18.610: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3061
*Mar 1 21:18:18.610: clientport 3061 state 0
*Mar 1 21:18:18.766: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:18.766: FIN ACK 3715698746 SEQ 462613130 LEN 0
*Mar 1 21:18:18.766: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3061
*Mar 1 21:18:18.766: clientport 3061 state 0
*Mar 1 21:18:33.070: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:33.070: SYN SEQ 466414843 LEN 0
*Mar 1 21:18:33.070: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3064
*Mar 1 21:18:33.070: clientport 3061 state 0
*Mar 1 21:18:33.074: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:33.074: ACK 1606420512 SEQ 466414844 LEN 0
*Mar 1 21:18:33.074: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3064
*Mar 1 21:18:33.074: clientport 3064 state 0
*Mar 1 21:18:33.078: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:33.078: PSH ACK 1606420512 SEQ 466414844 LEN 431
*Mar 1 21:18:33.078: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3064
*Mar 1 21:18:33.078: clientport 3064 state 0
*Mar 1 21:18:33.090: AUTH-PROXY:proto_flag=7, dstport_index=0
*Mar 1 21:18:33.090: AUTH-PROXY:Protocol not configured on if_input
*Mar 1 21:18:33.226: AUTH-PROXY:proto_flag=7, dstport_index=0
*Mar 1 21:18:33.226: AUTH-PROXY:Protocol not configured on if_input
*Mar 1 21:18:33.546: AUTH-PROXY:proto_flag=7, dstport_index=0
*Mar 1 21:18:33.546: AUTH-PROXY:Protocol not configured on if_input
*Mar 1 21:18:33.550: AUTH-PROXY:proto_flag=7, dstport_index=0
*Mar 1 21:18:33.550: AUTH-PROXY:Protocol not configured on if_input
*Mar 1 21:18:33.594: AUTH-PROXY:proto_flag=7, dstport_index=0
*Mar 1 21:18:33.594: AUTH-PROXY:Protocol not configured on if_input
*Mar 1 21:18:33.594: AUTH-PROXY:proto_flag=7, dstport_index=0
*Mar 1 21:18:33.594: AUTH-PROXY:Protocol not configured on if_input
*Mar 1 21:18:33.598: AUTH-PROXY:proto_flag=7, dstport_index=0
*Mar 1 21:18:33.598: AUTH-PROXY:Protocol not configured on if_input
*Mar 1 21:18:33.706: AUTH-PROXY:proto_flag=7, dstport_index=0
*Mar 1 21:18:33.706: AUTH-PROXY:Protocol not configured on if_input
*Mar 1 21:18:33.810: AUTH-PROXY:proto_flag=7, dstport_index=0
*Mar 1 21:18:33.810: AUTH-PROXY:Protocol not configured on if_input
*Mar 1 21:18:33.810: AUTH-PROXY:proto_flag=7, dstport_index=0
*Mar 1 21:18:33.810: AUTH-PROXY:Protocol not configured on if_input
*Mar 1 21:18:33.810: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:33.810: ACK 1606421496 SEQ 466415275 LEN 0
*Mar 1 21:18:33.810: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3064
*Mar 1 21:18:33.814: clientport 3064 state 6
*Mar 1 21:18:33.814: AUTH-PROXY:Packet in FIN_WAIT state
*Mar 1 21:18:33.838: AUTH-PROXY:proto_flag=7, dstport_index=4
*Mar 1 21:18:33.838: FIN ACK 1606421496 SEQ 466415275 LEN 0
*Mar 1 21:18:33.838: dst_addr 172.16.171.219 src_addr 171.69.89.25 dst_port 80
src_port 3064
*Mar 1 21:18:33.838: clientport 3064 state 6
*Mar 1 21:18:33.838: AUTH-PROXY:Packet in FIN_WAIT state

その他の参考資料

ここでは、HTTPS 認証プロキシのファイアウォール サポートに関する関連資料について説明します。

関連資料

内容
参照先

認証プロキシの設定作業

Configuring Authentication Proxy

認証プロキシ コマンド

『Cisco IOS Security Command Reference』

Cisco IOS Web サーバへの HTTPS サポートの追加に関する情報

HTTPs - HTTP Server and Client with SSL 3.0

CA 証明書の設定と取得に関する情報

Trustpoint CLI 」、 Cisco IOS リリース 12.2(8)T フィーチャ モジュール

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC1
タイトル

RFC 1945

Hyptertext Transfer Protocol -- HTTP/ 1.0

RFC 2616

Hyptertext Transfer Protocol -- HTTP/ 1.1

1.サポートされている RFC がすべて記載されているわけではありません。

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

HTTPS 認証プロキシのファイアウォール サポートの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 HTTPS 認証プロキシのファイアウォール サポートの機能情報

機能名
リリース
機能情報

HTTPS 認証プロキシのファイアウォール サポート

12.2(11)YU
12.2(15)T

HTTPS 認証プロキシのファイアウォール サポート機能を使用すると、Cisco IOS ファイアウォールで認証プロキシがイネーブルになっている場合に、HTTP クライアントと Cisco IOS ルータの間でのユーザ名とパスワードの変更を、Secure Socket Layer(SSL)によって暗号化できるため、HTTP クライアントと Cisco IOS ルータの間でやり取りされるデータの機密性を高めることができます。

この機能は、Cisco IOS リリース 12.2(11)YU で導入されました。

この機能は、Cisco IOS リリース 12.2(15)T に統合されました。

用語集

ACL :アクセス コントロール リスト。ACL は、いくつかのサービスに対してルータとの間のアクセスを制御するためにルータによって保持されるリストです(たとえば、特定の IP アドレスを持つパケットがルータの特定のインターフェイスから出て行くのを防ぐため)。

Cisco IOS Firewall :Cisco IOS Firewall は、高度なトラフィック フィルタリング機能を提供し、ネットワークのファイアウォールの不可欠な部分として使用できるプロトコルです。

Cisco IOS Firewall は、ファイアウォール インターフェイスでアクセス リストに一時的な開口を作成します。これらの開口は、指定されたトラフィックが内部ネットワークからファイアウォールを通じて出て行くときに作成されます。開口により、戻りトラフィック(通常はブロックされます)および追加のデータ チャネルが、ファイアウォールを通じてして内部ネットワークに入ることができます。トラフィックがファイアウォールを通じて戻ることが許されるのは、そのトラフィックが、ファイアウォールを通じて出て行くときに Cisco IOS Firewall を起動した元のトラフィックと同じセッションの一部である場合だけです。

HTTPS :SSL 上の HTTP。HTTPS はクライアントとサーバの通信であり、最初に SSL 接続をネゴシエートし、次に HTTP プロトコル データを SSL アプリケーション データ チャネル上で送信します。

SSL :Secure Socket Layer。SSL は Web 用の暗号化テクノロジーであり、e- コマースでのクレジット カード番号の送信など、セキュアな取引を行うために使用されます。

ファイアウォール :ファイアウォールは、組織のネットワーク資産へのアクセスを制御するネットワーキング デバイスです。ファイアウォールはネットワークの入り口に配置されます。ネットワークに複数の入り口がある場合は、効果的なネットワーク アクセス制御を行うために、それぞれの場所にファイアウォールを配置する必要があります。

ファイアウォールの最も基本的な機能は、トラフィックモニタおよびフィルタすることです。ファイアウォールには、ネットワーク要件に合わせて、単純なものと高度なものがあります。一般に、単純なファイアウォールは設定と管理が簡単です。しかし、より高度なファイアウォールの柔軟性が必要になる場合があります。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2002-2009 Cisco Systems, Inc.
All rights reserved.