セキュリティ コンフィギュレーション ガイド:ユー ザ サービスのセキュリティ保護
ユーザ サービスのセキュリティ保護の概要
ユーザ サービスのセキュリティ保護の概要
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ユーザ サービスのセキュリティ保護の概要

機能情報の確認

この章の構成

AutoSecure

認証、認可、アカウンティング(AAA)

認証

認可

アカウンティング

認証プロキシ

802.1x 認証サービス

ネットワーク アドミッション コントロール

セキュリティ サーバ プロトコル

RADIUS

TACACS+

RADIUS および TACACS+ アトリビュート

RADIUS アトリビュート

TACACS+ アトリビュート

セキュア シェル(SSH)

Cisco IOS ログイン機能拡張

Cisco IOS Resilient 設定

イメージ確認

IP Source Tracker

ロールベースの CLI アクセス

パスワード、権限、ログインユーザ名を使用した、ネットワーキング デバイスでの CLI セッションでのセキュリティ

Kerberos

Lawful Intercept(合法的傍受)

ユーザ サービスのセキュリティ保護の概要

『ユーザ サービスのセキュリティ保護の概要』では、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)プロトコルを使用したユーザの識別、リモート デバイスへのユーザ アクセスの制御、およびセキュリティ サーバ情報を使用した Cisco IOS ネットワーキング デバイスでのサービスの追跡について説明します。

機能情報の確認

ご使用のソフトウェア リリースでは、この概要モジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

AutoSecure

AutoSecure 機能で、ルータのセキュリティ設定が簡単になり、ネットワーク攻撃に利用できる共通 IP サービスルータ設定を無効にしてルータ設定を強化し、ネットワーク攻撃下では、ネットワーク防御に役立つ IP サービスと機能を有効にします。

AutoSecure では、次の方法で、マネジメント プレーンおよびフォワーディング プレーンの両方でセキュリティ保護します。

マネジメント プレーンのセキュリティ保護は、潜在的にセキュリティ攻撃に利用される可能性がある特定のグローバルおよびインターフェイス サービスをオフにし、攻撃の脅威を軽減できるグローバル サービスをオンにすることで行います。また、セキュリティ保護されたアクセスとロギングもルータに設定できます。

フォワーディング プレーンのセキュリティ保護は、Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)またはルータの distributed CEF(dCEF; 分散 CEF)を可能な限りイネーブルにすることで行います。トラフィックが新たな宛先に到着し始めたときにキャッシュ エントリを作成する必要がないため、大量のトラフィックが多数の宛先に送信される場合でも、CEF は他のモードよりも予測しやすい方法で動作します。このため、CEF 用に設定されているルータは、SYN 攻撃下において、従来のキャッシュ方法を採用しているルータと比較して高い性能を発揮します。

認証、認可、アカウンティング(AAA)

シスコの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)パラダイムは、3 つの独立したセキュリティ機能をまとめて一貫性のあるモジュラ形式で設定するためのアーキテクチャ フレームワークです。AAA は、ユーザを認証する主な方法(TACACS+ サーバに格納されている username/password データベースなど)提供し、さらにバックアップ方法を指定します(ローカルに格納された username/password データベースなど)。このバックアップ方法は、主な方式のデータベースがネットワーキング デバイスからアクセスできない場合に使用されます。AAA を設定するには、「認証、認可、アカウンティング(AAA)」の章を参照してください。最大 4 つの順次バックアップ方法を設定できます。


) バックアップ方法が設定されていない場合は、username/password データベースになんらかの理由でアクセスできない場合にデバイスへのアクセスが拒否されます。


次のセクションで、AAA セキュリティ機能についてさらに詳細に説明します。

「認証」

「認可」

「アカウンティング」

「認証プロキシ」

「802.1x 認証サービス」

「ネットワーク アドミッション コントロール」

認証

認証で、ログイン/パスワード ダイアログ、チャレンジ/レスポンス、メッセージング サポート、および選択したセキュリティ プロトコルによっては暗号化などによるユーザの識別方法を提供します。認証は、ユーザに対してネットワークとネットワーク サービスへのアクセスを許可する前に、ユーザの識別を行う方法です。AAA 認証は、まず認証方式の名前付きリストを定義し、次に各種インターフェイスにそのリストを適用して設定します。

認可

認可で、ワンタイム許可またはサービスごとの許可、ユーザ単位のアカウント リストとプロファイル、ユーザ グループ サポート、および IP、Internetwork Packet Exchange(IPX)、AppleTalk Remote Access(ARA)、Telnet のサポートなど、リモート アクセスの制御方法を提供します。

RADIUS や TACACS+ などのリモート セキュリティ サーバでは、権限が定義されたアトリビュート値(AV)のペアを、対象のユーザに関連付けることで、ユーザに対して特定の権限を認可します。AAA 認可は、ユーザが認可された操作を示す一連のアトリビュートを組み合せて実行します。これらのアトリビュートとデータベースに格納されているユーザの情報とが比較され、その結果が AAA に返されてユーザの実際の権限と制限事項が決定されます。

アカウンティング

アカウンティングで、ユーザ識別、開始時刻と終了時刻、実行コマンド(PPP など)、パケット数、バイト数などといったセキュリティ サーバ情報の収集と送信を行い、課金、監査、およびレポートに使用する手段を提供します。アカウンティングを使用することで、ユーザがアクセスしているサービスや、ユーザが消費しているネットワーク リソース量を追跡できます。


) 認証は AAA と別個に設定することができます。ただし RADIUS、TACACS+、または Kerberos を使用する場合や、バックアップの認証方式を設定する場合は、AAA を設定する必要があります。


認証プロキシ

Cisco IOS ファイアウォール認証プロキシ機能は、ユーザごとのダイナミックな認証と認可のセキュリティ ポリシーを適用するためにネットワーク管理者が使用します。セキュリティ ポリシーは、業界標準の TACACS+ および RADIUS 認証プロトコルとともにユーザを認証します。ユーザごとに認証と認可を組み合わせることで、ユーザをユーザ単位のポリシーに基づいて識別し認証できるため、ネットワーク攻撃に対し、堅牢な保護を実現します。

認証プロキシ機能を実装すると、ユーザはネットワークにログインしたり HTTP 経由でインターネットにアクセスでき、ユーザ固有のアクセス プロファイルが CiscoSecure ACS やその他の RADIUS または TACACS+ 認証サーバから自動的に取得され、適用されます。ユーザ プロファイルは、認証されたユーザからのアクティブ トラフィックが存在するときにのみ、アクティブになります。

認証プロキシは、Network Address Translation(NAT; ネットワーク アドレス変換)、Context-Based Access Control(CBAC; コンテキストベース アクセス コントロール)、IP security(IPsec; IP セキュリティ)暗号化、および Cisco Secure VPN Client(VPN クライアント)ソフトウェアなどの、他の Cisco IOS セキュリティ機能と互換性があります。

802.1x 認証サービス

802.1x 認証サービス機能は、IEEE 802.1X プロトコル フレームワーク経由の Cisco サービス統合型ルータ(ISR)での、ローカル 802.1x ポートベースの認証および Virtual Private Network(VPN; バーチャル プライベート ネットワーク)アクセスの設定に使用されます。IEEE 802.1x 認証により、無許可のデバイス(サプリカント)にネットワークへアクセスされないようにします。

Cisco ISR は固定設定またはインストールされているモジュールに基づいて、ルータ、スイッチ、およびアクセス ポイントの機能を組み合わせることができます。スイッチ機能は、組み込みスイッチ ポートまたはスイッチ ポート付きプラグイン モジュールのいずれかにより提供されます。

IEEE 802.1x 規格には、クライアント/サーバベースのアクセス コントロールと認証プロトコルが定義されています。この認証プロトコルによって、無許可のクライアントは、適切に認証されない限り、公にアクセス可能なポートを使用して LAN に接続できません。認証サーバは、ポートに接続する各クライアントを認証してから、装置またはネットワークが提供するサービスの使用を許可します。

クライアントが認証されるまで、IEEE 802.1x アクセス コントロールでは、クライアントの接続先であるポートを介して、Extensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP; シスコ検出プロトコル)、および Spanning Tree Protocol(STP; スパニング ツリー プロトコル)トラフィックだけが許可されます。認証に成功すると、通常のトラフィックをポート経由で送受信することができます。

ネットワーク アドミッション コントロール

Cisco Network Admission Control(NAC; ネットワーク アドミッション コントロール)機能で、増加するワームやウィルスが業務ネットワークに与える脅威や影響を解決します。この機能は、顧客がセキュリティの脅威を認識して防御し、適合するのに役立つ Cisco Self-Defending Network Initiative(自己防衛型ネットワーク構想)の一部です。

NAC を使用して、エンドポイントがネットワークに接続しようとしたときに、アクセス権限を Cisco ルータに強制できます。このアクセス権限は、アンチウィルス ソフトウェアのバージョン、ウィルス定義、スキャン エンジンのバージョンといった現在のアンチウィルスの状態などの、エンドポイント デバイスの情報に基づいて決定されます。

NAC により、適合しないデバイスはアクセスを拒否し、検疫領域に格納するか、コンピューティング リソースへのアクセス制限を与えることができ、非セキュアなノードをネットワーク感染から保護します。NAC の主要なコンポーネントは Cisco Trust Agent(CTA)で、エンドポイント システムに常駐しており、ネットワークの Cisco ルータと通信します。CTA は、使用しているアンチウィルス ソフトウェアなどのセキュリティ状態情報を収集し、この情報を Cisco ルータに伝達します。次に、この情報は、Cisco Secure Access Control Server(ACS)にリレーされ、そこでアクセス コントロールが決定されます。ACS は、Cisco ルータに、エンドポイントに対し強制を実施するよう指示します。

セキュリティ サーバ プロトコル

AAA セキュリティ プロトコルは、セキュリティ機能を管理するルータまたはネットワーク アクセス サーバで使用されます。AAA は、ネットワーク アクセス サーバと シスコがサポートしている RADIUS または TACACS+ セキュリティ サーバ プロトコルとの間の通信を確立する手段に使用されます。

セキュリティ サーバ上のデータベースを使用してログイン ユーザ名とパスワードのペアを保存する場合は、該当するプロトコルをサポートするようルータまたはアクセス サーバを設定する必要があります。また、サポートされているほとんどのセキュリティ プロトコルは、AAA セキュリティ サービスを使用して管理する必要があるため、AAA をイネーブルにする必要があります。

次のセクションで、RADIUS および TACACS+ セキュリティ サーバについてさらに詳細に説明します。

「RADIUS」

「TACACS+」

RADIUS

RADIUS 分散型クライアント/サーバ システムは AAA を使用して実装されます。RADIUS はネットワークを不正アクセスから保護します。シスコの実装では RADIUS クライアントは Cisco ルータ上で稼動します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。

TACACS+

TACACS+ セキュリティ アプリケーションは、AAA を使用して実装され、ルータまたはネットワーク アクセス サーバにアクセスしようとするユーザの検証を集中的に行います。TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で動作する TACACS+ デーモンのデータベースで管理されます。TACACS+ は独立したモジュール型の認証、認可、およびアカウンティング機能を備えています。

このプロトコルはネットワークの規模の拡大に合わせて拡張し、新しいセキュリティ技術を適用するために設計されました。TACACS+ プロトコルの基礎となるアーキテクチャは個別 AAA アーキテクチャを補完します。

RADIUS および TACACS+ アトリビュート

RADIUS および TACACS+ RFC にはさまざまなベンダー インタープリテーションがあります。ベンダーごとに他の RFC との準拠性がある場合もありますが、相互運用性は保証されません。相互運用性は、RADIUS および TACACS+ で標準 RFC が使用されている場合にのみ保証されます。

非標準の RADIUS および TACACS+ RFC が使用されている場合、それぞれのデバイスで相互運用できるようベンダーがアトリビュートを開発し実装する必要があります。

次のセクションで、RADIUS および TACACS+ アトリビュートについてさらに詳細に説明します。

「RADIUS アトリビュート」

「TACACS+ アトリビュート」

RADIUS アトリビュート

RADIUS アトリビュートは、RADIUS デーモンに格納されているユーザ プロファイルの特定の AAA 要素を定義するために使用されます。

TACACS+ アトリビュート

TACACS+ アトリビュートと値のペアが、ユーザ プロファイルの特定の要素の定義に使用され、TACACS+ デーモンに格納されます。

セキュア シェル(SSH)

Secure Shell(SSH; セキュア シェル)機能は、rsh、rlogin、rc などの UNIX r-commands スイートに安全に置換するアプリケーションおよびプロトコルです(Cisco IOS は rlogin をサポートします)。このプロトコルは標準の暗号メカニズムを使用してセッションの安全を確保します。アプリケーションは Berkeley の rexec および rsh ツールと同様に使用できます。現在、2 つのバージョンの SSH(SSH バージョン 1 と SSH バージョン 2)を使用できます。

Cisco IOS ログイン機能拡張

Cisco IOS Login Enhancements(Login Block)機能により、ユーザはサービス拒絶(DoS)攻撃と思われる攻撃が検出された場合、ログイン試行を自動的にブロックするオプションを設定して、ルータのセキュリティを強化できます。

この機能により導入された Login Block オプションおよび Login Delay オプションで、Telnet または SSH 仮想接続を設定できます。この機能をイネーブルにすると、接続試行の失敗が複数回検出された場合に、「待機時間」を強制して「辞書攻撃」をスローダウンし、ルーティング デバイスを DoS 攻撃から保護できます。

Cisco IOS Resilient 設定

Cisco IOS Resilient Configuration 機能で、実行中のイメージおよび設定のワーキング コピーを保護し維持することができます。これにより、イメージや設定ファイルが永続ストレージ(NVRAM やフラッシュ)の内容を消去する不正な攻撃に耐えることができます。

イメージ確認

イメージ確認機能で、Cisco IOS イメージの整合性を自動的に確認できます。そのため、ユーザは、イメージが偶発的な破壊から保護されていることを確認できます。破壊は、シスコによってファイルが作成された瞬間からユーザに届くまで、輸送中にいつでも起きる可能性があります。

IP Source Tracker

IP Source Tracker 機能で、攻撃下にあると考えられるホストへのトラフィックに関する情報を収集できます。また、この機能で、ネットワークへの入り口への攻撃を簡単にトレースできます。

ロールベースの CLI アクセス

ロールベースの CLI アクセス機能を使用すれば、ネットワーク管理者は「ビュー」を定義できます。ビューは、Cisco IOS EXEC コマンドおよびコンフィギュレーション(config)モード コマンドへのアクセスを精選したり部分的に制限する、操作コマンドと設定機能のセットです。ビューで、ユーザの Cisco IOS Command-Line Interface(CLI; コマンドライン インターフェイス)や設定情報へのアクセスを制限します。つまり、ビューで、使用するコマンドや表示する設定情報を定義できます。したがって、ネットワーク管理者はシスコ ネットワーキング デバイスへのアクセスを柔軟に管理できます。

パスワード、権限、ログインユーザ名を使用した、ネットワーキング デバイスでの CLI セッションでのセキュリティ

ネットワーキング デバイスがネットワークに、セキュリティ オプションを設定せずにインストールされている状態や、ネットワーキング デバイスがインストールされており、セキュリティのベースラインが、ネットワーキング デバイスで実行している Cisco IOS CLI オペレーティング システム セッションでどのように実装されているか知るための手助けが必要な場合があります。

このマニュアルでは、次の基本セキュリティの内容を説明しています。

CLI セッションでの異なる認証レベルを区別して、ネットワーキング デバイスのステータス対デバイスのモニタに使用されるコマンドを変更できるコマンドへのアクセスを制御する

パスワードは CLI セッションに割り当てられる

ユーザはネットワーキング デバイスにユーザ名を使用してログインできる

コマンドの権限レベルを変更して CLI セッションでの新しい承認レベルを作成する

Kerberos

Kerberos 機能は、暗号化と認証に Data Encryption Standard(DES; データ暗号規格)暗号化アルゴリズムを使用した AAA を使用して実装されるシークレットキー ネットワーク認証プロトコルです。Kerberos はネットワーク リソースの要求を認証するために設計され、ユーザおよびサービスの安全な検証を実行する信頼のあるサードパーティのコンセプトに基づいています。これは主に、ユーザとユーザが使用しているネットワーク サービスが本当に要求されているものであるかを確認するために使用されます。この検証を行うには、信頼できる Kerberos サーバでユーザのクレデンシャル キャッシュに格納して標準のユーザ名およびパスワード認証メカニズムの代わりに使用できる期限付きのチケットを発行します。

Lawful Intercept(合法的傍受)

Lawful Intercept(LI; 合法的傍受)機能は、法執行機関の要件に適合するサービス プロバイダーをサポートし、Voice over IP(VoIP)またはエッジ ルータを通るデータ トラフィックを代行受信する機能を提供します。Lawful Intercept(LI; 合法的傍受)アーキテクチャには、Cisco Service Independent Intercept アーキテクチャと PacketCable The Lawful Lawful Intercept アーキテクチャが含まれています。