Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
合法的傍受アーキテクチャ
合法的傍受アーキテクチャ
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

合法的傍受アーキテクチャ

機能情報の確認

この章の構成

合法的傍受の前提条件

合法的傍受の制約事項

合法的傍受に関する情報

合法的傍受の概要

シスコ Service Independent Intercept アーキテクチャ

PacketCable 合法的傍受アーキテクチャ

CISCO ASR 1000 シリーズ ルータ

VRF 対応の LI

ATM インターフェイス上の IP パケットの LI

IPv6 ベースの合法的傍受

合法的傍受 MIB

合法的傍受 MIB へのアクセスの制限

合法的傍受の設定方法

合法的傍受 MIB の制限された SNMP ビューの作成

前提条件

合法的傍受のための SNMP 通知のイネーブル化

前提条件

SNMP 通知のディセーブル化

RADIUS セッション傍受のイネーブル化

合法的傍受の設定例

メディエーション デバイスによる合法的傍受 MIB へのアクセスをイネーブル化する例

RADIUS セッションの合法的傍受の例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

合法的傍受の機能情報

合法的傍受アーキテクチャ

Lawful Intercept(LI; 合法的傍受)機能を利用すると、サービス プロバイダーは、エッジ ルータ(またはその他のネットワーク ロケーション)を通過する Voice-over-Internet(VoIP)トラフィックまたはデータ トラフィックを傍受できる機能を提供するという、司法当局による要求を満たすことができます。このマニュアルでは、Cisco Service Independent Intercept アーキテクチャと PacketCable Lawful Intercept アーキテクチャを含む、LI アーキテクチャについて説明します。また、LI 機能の構成要素と、システムで LI 機能を設定するための手順についても説明します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「合法的傍受の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

合法的傍受の前提条件

Cisco LI MIB ビューへのアクセスは、メディエーション デバイスと、ルータ上の合法的傍受について知っておく必要があるシステム管理者に制限されます。MIB にアクセスするには、ルータに対するレベル 15 のアクセス権が必要です。

メディエーション デバイスとの通信

ルータがメディエーション デバイスと通信して合法的傍受を実行するには、次の構成要件が満たされている必要があります。

メディエーション デバイスで、Access Function(AF)および Access Function Provisioning Interface(AFPI)が設定されている必要があります。

メディエーション デバイスを、CISCO-TAP2-MIB ビューにアクセスできる Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)ユーザ グループに追加する必要があります。

snmp-server user コマンドを使用して、メディエーション デバイスのユーザ名とパスワードを指定し、メディエーション デバイスを SNMP ユーザ グループに追加します。その後、 snmp-server group コマンドを使用して、CISCO-TAP2-MIB と、CISCO-IP-TAP-MIB などの 1 つ以上のオプション MIBS を含むビューにグループを関連付けます。

メディエーション デバイスを CISCO-TAP2-MIB ユーザとして追加する場合、必要に応じてメディエーション デバイスの認可パスワードを含めることができます。パスワードの長さは、最低 8 文字であることが必要です。

ルータとメディエーション デバイスの時刻は、同じ値に設定されている必要があります。

時刻設定を同期するには、Network Time Protocol(NTP; ネットワーク タイム プロトコル)をルータとメディエーション デバイスの両方で実行します。

ルータとメディエーション デバイスのセキュリティ レベルには、同じ値が設定されている必要があります。LI 機能に必要な最低のセキュリティ レベルは「auth」です。

SNMP メッセージの暗号化が必要な場合(任意)、セキュリティ レベルを「priv」に設定します。

合法的傍受の制約事項

一般的な制約事項

ルータのパフォーマンスを維持するため、LI はトラフィックの 25% 以下に制限されます。たとえば、ルータが 10 Gbps を処理している場合、平均タップ速度は 25 Mbps です。平均パケット サイズが 200 b の場合、秒あたりのパケット数は 16 kpps になります。

ルータで LI を設定するための Command-Line Interface(CLI; コマンドライン インターフェイス)はありません。すべてのエラー メッセージは、メディエーション デバイスに SNMP 通知として送信されます。すべての傍受は、SNMPv3 だけを使用してプロビジョニングされます。

Cisco ASR 1000 シリーズ ルータ

Cisco ASR 1000 シリーズ ルータでは、Asynchronous Transfer Mode(ATM; 非同期転送モード)の Permanent Virtual Circuits(PVC; 相手先固定接続)からの IP パケットの傍受はサポートされていません。

合法的傍受に関する情報

LI を設定する前に、次の概念について理解する必要があります。

「合法的傍受の概要」

「シスコ Service Independent Intercept アーキテクチャ」

「PacketCable 合法的傍受アーキテクチャ」

「CISCO ASR 1000 シリーズ ルータ」

「VRF 対応の LI」

「ATM インターフェイス上の IP パケットの LI」

「IPv6 ベースの合法的傍受」

合法的傍受の概要

LI は、Law Enforcement Agency(LEA; 司法当局)が、司法命令または行政命令の許可に従って、電子的監視を行うためのプロセスです。ますます多くの法律が採択され、規制が施行されるのに伴い、Service Provider(SP; サービス プロバイダー)や ISP は、許可された電子監視を明示的にサポートするネットワークを実装する必要性に迫られています。LI の指令に従う必要がある SP または ISP の種類は、国によって大きく異なります。米国での LI への準拠は、Communications Assistance for Law Enforcement Act(CALEA)で規定され、Commission on Accreditation for Law Enforcement Agencies によって認可されています。

シスコでは、LI に対し、PacketCable と Service Independent Intercept の 2 つのアーキテクチャをサポートしています。LI コンポーネントだけでは、該当する規制に準拠できません。LI コンポーネントは、SP および ISP が、LI 準拠のネットワークを構築するために使用可能なツールを提供します。

シスコ Service Independent Intercept アーキテクチャ

Cisco Service Independent Intercept Architecture Version 3.0 』では、Cisco Broadband Telephony Softswitch(BTS)10200 Softswitch コール エージェント バージョン 5.0 を、非 PacketCable ネットワークで使用した、VoIP ネットワーク向けの LI の実装について説明しています。Packet Cable Event Message 仕様バージョン 1.5-I01 は、コール識別情報と、コールの内容に対する Cisco Tap MIB バージョン 2.0 を提供するために使用されます。

Cisco Service Independent Intercept Architecture Version 2.0 』では、Cisco BTS 10200 Softswitch コール エージェント バージョン 4.4 および 4.5 を非 PacketCable ネットワークで使用した、VoIP ネットワーク向けの LI の実装について説明しています。PacketCable ネットワークではありませんが、PacketCable Event Messages Specification バージョン I08 は、コール識別情報と、コール内容に対する Cisco Tap MIB のバージョン 1.0 またはバージョン 2.0 を提供するために引き続き使用されています。『 Cisco Service Independent Intercept Architecture Version 2.0 』では、IP アドレスとセッション ID の両方でデータを傍受するための追加機能について説明しています。これは、どちらも Cisco Tap MIB(CISCO-TAP2-MIB)のバージョン 2.0 でサポートされています。

Cisco Service Independent Intercept Architecture Version 1.0 』では、Cisco BTS 10200 Softswitch コール エージェント バージョン 3.5 および 4.1 を非 PacketCable ネットワークで使用した、VoIP ネットワーク向けの LI の実装について説明しています。PacketCable ネットワークではありませんが、PacketCable Event Message Specification バージョン I03 は、コール識別情報と、コール内容に対する Cisco Tap MIB(CISCO-TAP-MIB)のバージョン 1.0 を提供するために引き続き使用されています。IP アドレスによる単純なデータの傍受についても説明されています。

PacketCable 合法的傍受アーキテクチャ

PacketCable Lawful Intercept Architecture for BTS Version 5.0 』では、Cisco BTS 10200 Softswitch コール エージェント バージョン 5.0 を、PacketCable Event Messages Specification バージョン 1.5-I01 に準拠した PacketCable ネットワークで使用した、VoIP 向けの LI の実装について説明しています。

PacketCable Lawful Intercept Architecture for BTS Versions 4.4 and 4.5 』では、Cisco BTS 10200 Softswitch コール エージェント バージョン 4.4 および 4.5 を、PacketCable Event Messages Specification バージョン I08 に準拠した PacketCable ネットワークで使用した、VoIP 向けの LI の実装について説明しています。

PacketCable Lawful Intercept Architecture for BTS Versions 3.5 and 4.1 』では、Cisco BTS 10200 Softswitch コール エージェント バージョン 3.5 および 4.1 を、PacketCable Event Message Specification バージョン I03 に準拠した PacketCable ネットワークで使用した、VoIP 向けの LI の実装について説明しています。

PacketCable Control Point Discovery Interface Specification 』では、指定された IP アドレスのコントロール ポイントを発見するために使用可能な IP ベースのプロトコルが定義されています。コントロール ポイントとは、Quality of Service(QoS)操作、LI コンテンツ タッピング操作、その他の操作を実行可能な場所です。

CISCO ASR 1000 シリーズ ルータ

Cisco ASR 1000 シリーズ ルータは、通常および広帯域(加入者ごと)の 2 種類の LI をサポートしています。広帯域の盗聴は、アクセス サブインターフェイス上で実行します。通常の盗聴は、アクセス サブインターフェイスおよび物理インターフェイス上で実行します。内部インターフェイス上では盗聴は不要であり、実行されません。ルータは、ターゲット トラフィックが使用しているインターフェイスに基づいて、実行する盗聴の種類を決定します。

Cisco ASR 1000 シリーズ ルータ上の LI は、次の 1 つ以上のフィールドの組み合わせに基づいてトラフィックを傍受できます。

宛先 IP アドレスとマスク(IPv4 または IPv6 アドレス)

宛先ポートまたは宛先ポートの範囲

送信元 IP アドレスとマスク(IPv4 または IPv6 アドレス)

送信元ポートまたは送信元ポート範囲

プロトコル ID

Type of Service(TOS; タイプ オブ サービス)

ルータ内で vrf-tableid 値に変換される Virtual Routing and Forwarding(VRF)名

加入者(ユーザ)接続 ID

Cisco ASR 1000 シリーズ ルータ上の LI の実装は、SNMP3 を使用してプロビジョニングされ、次の機能がサポートされています。

通信内容の傍受。ルータは、傍受した各パケットを複製し、パケットのコピーを UDP ヘッダでカプセル化されたパケットに(設定された CCCid とともに)格納します。ルータは、カプセル化したパケットを LI メディエーション デバイスに送信します。複数の合法的傍受が同じデータ フローに対して設定されている場合でも、パケットの 1 つのコピーだけメディエーション デバイスに送信されます。必要に応じて、メディエーション デバイスは各 LEA に対しパケットを複製できます。

IPv4 フローおよび IPv6 フローの傍受。

IPv4 および IPv6 マルチキャスト フローの傍受。ターゲットはマルチキャスト トラフィックの送信元となります。

VRF 対応の LI

VRF 対応の LI は、特定の Virtual Private Network(VPN; バーチャル プライベート ネットワーク)内の IPv4 データに対する LI 盗聴をプロビジョニングできる機能です。この機能により、LEA は、その VPN 内のターゲット データを合法的に傍受できます。その VPN 内の IPv4 データだけが VRF ベースの LI タップの対象になります。

VRF 対応の LI は、次の種類のトラフィックに対して使用できます。

ip2ip

ip2tag(IP から MPLS)

tag2ip(MPLS から IP)

VPN ベースの IPv4 タップをプロビジョニングするために、LI 管理機能(メディエーション デバイスで動作します)は、CISCO-IP-TAP-MIB を使用して、ターゲットの VPN が使用している VRF テーブルの名前を特定します。VRF 名は、タップを実行するために LI をイネーブルにする VPN インターフェイスを選択するために使用します。

ルータは、傍受するトラフィックと、傍受したパケットを送信するメディエーション デバイスを、VRF 名(および送信元および宛先アドレス、送信元および宛先ポート、およびプロトコル)に基づいて決定します。


) Cisco-IP-TAP-MIB を使用する場合、VRF 名がストリーム エントリで指定されていない場合、デフォルトでグローバル IP ルーティング テーブルが使用されます。


ATM インターフェイス上の IP パケットの LI

合法的傍受機能を使用すると、ATM インターフェイス上で送受信される IP パケットが、Virtual Path Identifier(VPI; 仮想パス識別子)または Virtual Channel Identifier(VCI; 仮想チャネル識別子)などの PVC 情報に基づいて傍受されるように、システムを設定できます。システムを設定するときにインターフェイスを指定する場合、ATM PVC 上の VPI または VCI に対応する特定のインターフェイス上のすべての IP トラフィックが傍受されます。システムを設定するときにインターフェイスを指定しない場合、すべてのインターフェイス上の ATM PVC に対応する IP トラフィックが傍受されます。

ATM インターフェイス上の IP トラフィックの LI は、次のインターフェイスとカプセル化タイプに対して使用できます。

ATM インターフェイス

ATM マルチポイント インターフェイス

ATM サブインターフェイス ポイントツーポイント

PPP over ATM(PPPoA)カプセル化

PPP over Ethernet over ATM(PPPoEoA)カプセル化

ATM インターフェイス上で IP トラフィック タップをプロビジョニングするために、LI 管理機能(メディエーション デバイスで動作)は、CISCO-IP-TAP-MIB を使用して ATM PVC の VPI および VCI 情報を指定します。この情報は、タップを実行するために LI をイネーブルにするインターフェイスを選択するために使用します。

ルータは、傍受すべきトラフィックと、傍受したパケットの送信先のメディエーション デバイスを、VPI および VCI 情報に基づいて決定します。

ATM インターフェイス タップがプロビジョニングされている場合、システムは、すべてのタップ情報(PVC 情報やインターフェイスなど)が格納された IP_STREAM エントリ タイプを作成します。LI 機能は、IP レイヤでパケットを傍受します。インターフェイスが ATM インターフェイスである場合、LI は PVC 情報をパケットから抽出し、プロビジョニングされているストリームと照合します。システムを設定するときにインターフェイスが指定されている場合、LI はパケット情報をインターフェイスとも照合します。一致する各ストリームに対し、LI モジュールはパケットのコピーを対応するメディエーション デバイスに送信します。

IPv6 ベースの合法的傍受

IPv6 ベースの合法的傍受を設定するために、システムは送信元または宛先アドレスをターゲットとして識別し、ターゲット アドレスへのより詳細でないルートが存在するかどうかを判定します。ターゲット アドレスへのより詳細でないルートが存在する場合、システムは、ターゲット アドレスに到達するために使用できるインターフェイスのリストを特定し、それらのインターフェイスだけに傍受を適用します。

システムは、ルート変更を自動的に検出し、変更されたすべてのルートに対して傍受を再度適用します。

システムは、 snmp set コマンドで指定された IPv6 ストリームの詳細を使用し、次の条件を使用してターゲット アドレスを特定します。

送信元アドレスのプレフィクス長が 0 の場合、宛先アドレスがターゲット アドレスとして選択されます。同様に、宛先アドレスのプレフィクス長が 0 の場合、送信元アドレスがターゲット アドレスとして選択されます。

送信元アドレスと宛先アドレスのプレフィクス長がどちらも 0 でない場合、プレフィクス長が長いほうのアドレスがターゲット アドレスとして使用されます。

送信元アドレスと宛先アドレスのプレフィクス長が同じである場合、システムは、IPv6 ルーティング テーブル内のプレフィクスに対して最長一致検索を実行して、Content IAP(CIAP)に近いネットワークを判定します。システムは、長いプレフィクスを持つ場所(送信元または宛先)をターゲットとして選択します。

合法的傍受 MIB

Cisco LI MIB は、その機密性から、LI 機能をサポートしているソフトウェア イメージだけで使用できます。これらの MIB には、Network Management Software MIBs Support ページ( http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml )を通じてアクセスできません。

合法的傍受 MIB へのアクセスの制限

合法的傍受について知る必要があるメディエーション デバイスとユーザだけに LI MIB へのアクセスを許可する必要があります。これらの MIB へのアクセスを制限するには、次の手順を実行します。

1. Cisco LI MIB を含むビューを作成します。

2. ビューに対して読み書きアクセス可能な SNMP ユーザ グループを作成します。このユーザ グループに割り当てられているユーザだけが MIB の情報にアクセスできます。

3. ユーザをシスコ LI ユーザ グループに追加し、合法的傍受に関連する MIB および情報にアクセスできるユーザを定義します。必ずメディエーション デバイスをこのグループのユーザに追加してください。そうしないと、ルータは合法的傍受を実行できません。

詳細については、「合法的傍受 MIB の制限された SNMP ビューの作成」を参照してください。


) Cisco LI MIB ビューへのアクセスは、メディエーション デバイスと、ルータ上の合法的傍受について知っておく必要があるシステム管理者に制限されます。MIB にアクセスするには、ルータに対するレベル 15 のアクセス権が必要です。


合法的傍受の設定方法

ルータで合法的傍受をプロビジョニングするための直接のユーザ コマンドはありませんが、LI MIB へのアクセスの有効化、SNMP 通知の設定、LI RADIUS セッション機能のイネーブル化など、いくつかの設定作業を実行する必要があります。ここでは、これらの作業を実行する方法について説明します。

「合法的傍受 MIB の制限された SNMP ビューの作成」

「合法的傍受のための SNMP 通知のイネーブル化」

「SNMP 通知のディセーブル化」

「RADIUS セッション傍受のイネーブル化」

合法的傍受 MIB の制限された SNMP ビューの作成

ユーザを作成して、シスコの合法的傍受 MIB を含む SNMP ビューに割り当てるには、ここに示す手順を実行します。

前提条件

コマンドは、レベル 15 のアクセス権で、グローバル コンフィギュレーション モードで実行する必要があります。

ルータで SNMPv3 が設定されている必要があります。

手順の概要

1. enable

2. configure terminal

3. snmp-server view view-name MIB-name included

4. snmp-server view view-name MIB-name included

5. snmp-server view view-name MIB-name included

6. snmp-server view view-name MIB-name included

7. snmp-server view view-name MIB-name included

8. snmp-server group group-name v3 auth read view-name write view-name

9. snmp-server user user-name group-name v3 auth md5 auth-password

10. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

snmp-server view view-name MIB-name included

 

Router(config)# snmp-server view exampleView ciscoTap2MIB included

CISCO-TAP2-MIB を含む SNMP ビューを作成します(ここで、 exampleView は、MIB に対して作成するビューの名前です)。

この MIB は、通常の合法的傍受と広帯域の合法的傍受の両方で必要です。

ステップ 4.

snmp-server view view-name MIB-name included

 

Router(config)# snmp-server view exampleView ciscoIpTapMIB included

CISCO-IP-TAP-MIB を SNMP ビューに追加します。

ステップ 5

snmp-server view view-name MIB-name included

 

Router(config)# snmp-server view exampleView cisco802TapMIB included

CISCO-802-TAP-MIB を SNMP ビューに追加します。

ステップ 6

snmp-server view view-name MIB-name included

 

Router(config)# snmp-server view exampleView ciscoUserConnectionTapMIB included

CISCO-USER-CONNECTION-TAP-MIB を SNMP ビューに追加します。

ステップ 7

snmp-server view view-name MIB-name included

 

Router(config)# snmp-server view exampleView ciscoMobilityTapMIB included

CISCO-MOBILITY-TAP-MIB を SNMP ビューに追加します。

ステップ 8

snmp-server group group-name v3 auth read view-name write view-name

 

Router(config)# snmp-server group exampleGroup v3 auth read exampleView write exampleView

LI MIB ビューにアクセス可能な SNMP ユーザ グループを作成し、グループのビューに対するアクセス権を定義します。

ステップ 9

snmp-server user user-name group-name v3 auth md5 auth-password

 

Router(config)# snmp-server user exampleUser exampleGroup v3 auth md5 examplePassword

指定したユーザ グループにユーザを追加します。

ステップ 10

end

 

Router(config)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

関連情報

これでメディエーション デバイスは合法的傍受 MIB にアクセスし、SNMP の set および get 要求を発行して、ルータ上で合法的傍受を設定および実行できるようになります。SNMP 通知をメディエーション デバイスに送信するようにルータを設定する方法については、「合法的傍受のための SNMP 通知のイネーブル化」を参照してください。

合法的傍受のための SNMP 通知のイネーブル化

SNMP は、合法的傍受イベントについての通知を自動的に生成します。合法的傍受通知をメディエーション デバイスに送信するようにルータを設定するには、ここに示す手順を実行します。

前提条件

コマンドは、レベル 15 のアクセス権で、グローバル コンフィギュレーション モードで実行する必要があります。

ルータで SNMPv3 が設定されている必要があります。

手順の概要

1. enable

2. configure terminal

3. snmp-server host ip-address community-string udp-port port notification-type

4. snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart

5. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

snmp-server host ip-address community-string udp-port port notification-type

 

Router(config)# snmp-server host 10.2.2.1 community-string udp-port 161 udp

メディエーション デバイスの IP アドレスと、通知要求とともに送信されるパスワードに似たコミュニティ ストリングを指定します。

合法的傍受では、 udp-port は 162(SNMP のデフォルト)ではなく 161 とする必要があります。

ステップ 4

snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart

 

Router(config)# snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart

RFC 1157 通知をメディエーション デバイスに送信するようにルータを設定します。

これらの通知は、認証の失敗、リンク ステータス(アップまたはダウン)、およびルータ再起動を示します。

ステップ 5

end

 

Router(config)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

SNMP 通知のディセーブル化

ルータ上で SNMP 通知をディセーブルにするには、ここに示す手順を実行します。


) 合法的傍受の通知をディセーブルにするには、SNMPv3 を使用して CISCO-TAP2-MIB オブジェクト cTap2MediationNotificationEnable に false(2)を設定します。SNMPv3 を通じて合法的傍受の通知を再度イネーブルにするには、オブジェクトに true(1)を再設定します。


手順の概要

1. enable

2. configure terminal

3. no snmp-server enable traps

4. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

no snmp-server enable traps

 

Router(config)# no snmp-server enable traps

システムで使用可能なすべての SNMP 通知タイプをディセーブルにします。

ステップ 4

end

 

Router(config)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

RADIUS セッション傍受のイネーブル化

メディエーション デバイスまたはタップをプロビジョニングするために使用可能なユーザ CLI コマンドはありません。しかし、CISCO-TAP-MIB を通じて傍受をイネーブルにするには、account-session-id 値をメディエーション デバイスが使用できるようにシステムを設定する必要があります。ルータで RADIUS セッション傍受をイネーブルにするには、ここに示す手順を実行します。

手順の概要

1. enable

2. configure terminal

3. aaa intercept

4. aaa authentication ppp default group radius

5. aaa accounting delay-start all

6. aaa accounting send stop-record authentication failure

7. aaa accounting network default start-stop group radius

8. radius-server attribute 44 include-in-access-req

9. radius-server host host-name

10. aaa server radius dynamic-author

11. client ip-address

12. server-key keyword

13. port port-number

14. exit

15. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa intercept

 

Router(config)# aaa intercept

ルータで合法的傍受をイネーブルにします。

このコマンドが削除されたときに許可のないユーザが傍受を停止できないように、このコマンドを高い管理セキュリティに関連付けます。

ステップ 4

aaa authentication ppp default group radius

 

Router(config)# aaa authentication ppp default group radius

Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)を実行中のシリアル インターフェイス上で使用する認証方式を指定します。

(注) このコマンドが必要なのは、タップ情報が RADIUS サーバにしかないためです。ローカルに設定した情報で認証できますが、ローカルに設定した情報ではタップを指定できません。

ステップ 5

aaa accounting delay-start all

 

Router(config)# aaa accounting delay-start all

アカウンティング開始レコードの生成を、ユーザの IP アドレスが確立されるまで遅らせます。 all キーワードを指定することにより、遅延がすべての VRF ユーザおよび非 VRF ユーザに適用されます。

(注) このコマンドは、メディエーション デバイスがターゲットに割り当てられた IP アドレスを参照できるようにするために必要です。

ステップ 6

aaa accounting send stop-record authentication failure

 

Router(config)# aaa accounting send stop-record authentication failure

(任意)ログイン時またはセッションのネゴシエーション中に認証に失敗したユーザに対するアカウンティング停止レコードを生成します。

(注) 合法的傍受の動作 1 でタップが開始されない場合、停止レコードの Acct-Termination-Cause(アトリビュート 49)に 15(サービス使用不能)が設定されます。

ステップ 7

aaa accounting network default start-stop group radius

 

Router(config)# aaa accounting network default start-stop group radius

(任意)すべてのネットワーク関連のサービス要求に対するアカウンティングをイネーブルにします。

(注) このコマンドは、タップが開始されなかった理由を特定するためだけに必要です。

ステップ 8

radius-server attribute 44 include-in-access-req

 

Router(config)# radius-server attribute 44 include-in-access-req

(任意)ユーザ認証前のアクセス要求パケット(事前認証の要求を含む)中で、RADIUS アトリビュート 44(アカウンティング セッション ID)を送信します。

(注) このコマンドは、Access-Request パケットからアトリビュート 44 を取得するために入力します。そうしない場合、アトリビュート 44 の値を特定するには、アカウンティング パケットが受信されるのを待つ必要があります。

ステップ 9

radius-server host host-name

 

Router(config)# radius-server host host1

(任意)RADIUS サーバ ホストを指定します。

ステップ 10

aaa server radius dynamic-author

 

Router(config)# aaa server radius dynamic-author

デバイスを Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバとして設定して外部ポリシー サーバとの通信を容易にし、ダイナミック認可ローカル サーバ コンフィギュレーション モードを開始します。

(注) セッションの開始時に常にタップが開始される場合、このコマンドはオプションです。CoA-Requests を使用して既存のセッションでタップを開始および停止する場合は、このコマンドは必須です。

ステップ 11

client ip-address

 

Router(config-locsvr-da-radius)# client 10.0.0.2

(任意)デバイスが CoA-Request パケットを受け付ける RADIUS クライアントを指定します。

ステップ 12

server-key word

 

Router(config-locsvr-da-radius)# server-key samplekey

(任意)デバイスと RADIUS クライアントの間で共有する RADIUS キーを設定します。

ステップ 13

port port-number

 

Router(config-locsvr-da-radius)# port 1600

(任意)デバイスが CoA-Request パケットを受け付ける RADIUS クライアントを指定します。

ステップ 14

exit

 

Router(config-locsvr-da-radius)# exit

ダイナミック認可ローカル サーバ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 15

end

 

Router(config)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

合法的傍受の設定例

次に、合法的傍受を設定する例を示します。

「メディエーション デバイスによる合法的傍受 MIB へのアクセスをイネーブル化する例」

「RADIUS セッションの合法的傍受の例」

メディエーション デバイスによる合法的傍受 MIB へのアクセスをイネーブル化する例

次に、メディエーション デバイスが合法的傍受 MIB にアクセスできるようにする例を示します。この例では、3 つの LI MIB(CISCO-TAP2-MIB、CISCO-IP-TAP-MIB、CISCO-802-TAP-MIB)を含む SNMP ビュー(tapV)を作成します。また、tapV ビュー内の MIB に読み込み、書き込み、通知アクセス可能なユーザ グループも作成します。

snmp-server view tapV ciscoTap2MIB included
snmp-server view tapV ciscoIpTapMIB included
snmp-server view tapV cisco802TapMIB included
snmp-server group tapGrp v3 auth read tapV write tapV notify tapV
snmp-server user ss8user tapGrp v3 auth md5 ss8passwd
snmp-server engineID local 1234

RADIUS セッションの合法的傍受の例

次に、PPPoEoA リンクを使用した Network Access Server(NAS; ネットワーク アクセス サーバ)デバイスとして機能するルータ上で RADIUS ベースの合法的傍受ソリューションを設定する例を示します。

aaa new-model
!
aaa intercept
!
aaa group server radius SG
server 10.0.56.17 auth-port 1645 acct-port 1646
!
aaa authentication login LOGIN group SG
aaa authentication ppp default group SG
aaa authorization network default group SG
aaa accounting send stop-record authentication failure
aaa accounting network default start-stop group SG
!
aaa server radius dynamic-author
client 10.0.56.17 server-key cisco
!
vpdn enable
!
bba-group pppoe PPPoEoA-TERMINATE
virtual-template 1
!
interface Loopback0
ip address 10.1.1.2 255.255.255.0
!
interface GigabitEthernet4/1/0
description To RADIUS server
ip address 10.0.56.20 255.255.255.0
duplex auto
!
interface GigabitEthernet4/1/2
description To network
ip address 10.1.1.1 255.255.255.0
duplex auto
!
interface GigabitEthernet5/0/0
description To subscriber
no ip address
!
interface GigabitEthernet5/0/0.10
encapsulation dot1q 10
protocol pppoe group PPPoEoA-TERMINATE
!
interface Virtual-Template1
ip unnumbered Loopback0
ppp authentication chap
!
radius-server attribute 44 include-in-access-req
radius-server attribute nas-port format d
radius-server host 10.0.56.17 auth-port 1645 acct-port 1646
radius-server key cisco

その他の参考資料

ここでは、合法的傍受機能に関する関連資料について説明します。

関連資料

内容
参照先

SNMP サポートの設定

Configuring SNMP Support

セキュリティ コマンド

Cisco IOS Security Command Reference

規格

規格
タイトル

PacketCable™ コントロール ポイント ディスカバリ インターフェイス仕様

PacketCable™ Control Point Discovery Interface Specification 』(PKT-SP-CPD-I02-061013)

MIB

MIB
MIB リンク

CISCO-802-TAP-MIB

CISCO-IP-TAP-MIB

CISCO-MOBILITY-TAP-MIB

CISCO-TAP2-MIB

CISCO-USER-CONNECTION-TAP-MIB

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC-2865

Remote Authentication Dial In User Service (RADIUS)

RFC-3576

Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)

RFC-3924

Cisco Architecture for Lawful Intercept in IP Networks

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

合法的傍受の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 合法的傍受の機能情報

機能名
リリース
機能情報

合法的傍受

12.0(32)S
12.2(31)SB2
12.2(33)SRB
12.2(33)SXH
12.4(22)T
15.0(1)M

合法的傍受(LI)機能を利用すると、サービス プロバイダーは、エッジ ルータを通過する Voice-over-Internet(VoIP)トラフィックまたはデータ トラフィックを傍受できる機能を提供するという、司法当局による要求を満たすことができます。

この機能は、12.0(32)S で初めて導入されました。

この機能は、Cisco IOS リリース 12.2(31)SB2 に統合されました。

この機能は、Cisco IOS リリース 12.2(33)SRB に統合されました。

この機能は、Cisco IOS リリース 12.2(33)SXH に統合されました。

この機能は、Cisco IOS リリース 12.4(22)T に統合されました。

Cisco IOS リリース 15.0(1)M で、ATM インターフェイス上での IP パケットの傍受と、IPv6 ベースの合法的傍受のサポートが追加されました。詳細については、次のセクションを参照してください。

「ATM インターフェイス上の IP パケットの LI」

「IPv6 ベースの合法的傍受」