Cisco Configuration Assistant Version 1.9 新機 能ガイド
セキュリティ
セキュリティ
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

セキュリティ

URL フィルタ

設定例

リストにあるドメイン以外のすべてのドメインの拒否または許可

URL リストのインポートおよびエクスポート

侵入防御システム(IPS)

IPS の設定

IPS 署名の更新

IPS アラート

セキュリティ

Cisco Configuration Assistant Version 1.9 に追加されたセキュリティ機能の設定のサポートについて理解するには、このセクションをお読みください。

「URL フィルタ」

「侵入防御システム(IPS)」

URL フィルタ


) この機能は、Cisco SR520 セキュア ルータでのみ設定できます。


URL フィルタを使用すると、URL リストに記載されている情報に基づいて、特定の Web サイトへのアクセスを許可または拒否することで、インターネットへのアクセスを制御できます。

Cisco Configuration Assistant Version 1.9 は、Black/White リストのみをサポートしています(C3PL URL フィルタ)。Black/White リストとは、企業のネットワーク セキュリティ スタッフによって手動で作成および維持される URL のリストのことです。デフォルトの URL はなく、ユーザ定義です。Version 1.9 の URL フィルタは、サードパーティ製サーバをサポートしていません。

Black/White リストでは、次のことができます。

いくつかの特定の URL を免除する必要がある場合に、基本的なソリューションを提供します。

企業ポリシーの一環として拒否する URL を、企業は直接管理できます。

既存のネットワーク機器を利用します。

Cisco Configuration Assistant で URL フィルタ設定オプションにアクセスするには、[設定(Configure)] > [セキュリティ(Security)] を選択して [URL フィルタ(URL Filtering)] を選択し、[URL フィルタ(URL Filtering)] ウィンドウを開きます。

設定例


) URL フィルタを有効にする前に、Zone Based Firewall(ZBF)設定を有効にする必要があります。URL フィルタが無効な場合でも、ドメイン名リストとの間で URL の追加または削除ができますが、フィルタは実行されません。URL フィルタは、デフォルトでは無効です。


リストにあるドメイン以外のすべてのドメインの拒否または許可

フィルタ オプションを設定し、フィルタの対象にするドメイン名のリストを管理するには、次の手順に従います。

1. [有効にする(Enable)] チェックボックスをオンにし、URL フィルタを有効にします。

2. リストにあるドメイン以外のすべてのドメインを拒否するか、またはリストにあるドメイン以外のすべてのドメインを許可するかを選択します。

3. フィルタ対象のドメイン名のリストに URL を追加するには、[追加(Add)] をクリックして、追加した行をクリックし、フィルタ対象にするドメイン名を入力します。

部分ドメイン名でも、検証可能なかぎり使用可能です(例:cisco.com. は有効)。


) フィルタ リストに使用可能な URL の最大数は 100 です。


4. 必要に応じて、ドメイン名の追加または削除を続行し、[OK] または [適用(Apply)] をクリックします。

[OK] または [適用(Apply)] をクリックすると、リスト内の名前は修正できなくなります。名前を変更するには、削除してから再追加する必要があります。

URL リストのインポートおよびエクスポート

フィルタ対象の URL をリストしたテキスト ファイルをインポートしたり、現在の URL のリストをエクスポートして、別のデバイスまたはアプリケーションにインポートしたりできます。URL リスト ファイルの作成には、次のガイドラインが適用されます。

ファイル名拡張子は .csv または .txt のいずれかにする必要があります。

「#」で始まる行はコメントとして扱われます。

リスト内では、重複は許可されていません。

次の例のように、URL は 1 行ずつ入力します。

#Domain Name

www.cisco.com

www.yahoo.com

www.rediffmail.com

www.google.com

URL リストをインポートするには、次の手順に従います。

1. Cisco SR520 セキュア ルータを備えたシステムで Cisco Configuration Assistant Version 1.9 を起動して [設定(Configure)] > [セキュリティ(Security)] を選択し、[URL フィルタ(URL Filtering)] を選択します。

2. [URL フィルタ(URL Filtering)] ウィンドウで、[URL フィルタを有効にする(Enable URL Filtering)] を選択します。

3. [URL リストのインポート(Import URL List)] をクリックし、フィルタ対象の URL リストを含んでいる .txt または .csv ファイルを選択します。

4. [開く(Open)] をクリックします。ファイルにリストされているすべての URL がインポートされ、[ドメイン リスト(Domain List)] に表示されます。

5. ファイルにリストされているすべてのドメインを許可するには、[次のリストにあるドメイン以外のすべてのドメインを拒否(Deny all domains except the ones in the list below)] を選択します。

6. ファイルにリストされているすべてのドメインを拒否するには、[次のリストにあるドメイン以外のすべてのドメインを許可(Permit all domains except the ones in the list below)] を選択します。

7. [OK] をクリックします。

ZBF 設定をまだ作成していない場合は、作成を求めるプロンプトが表示されます。

URL リストをエクスポートするには、次の手順に従います。

1. Cisco SR520 セキュア ルータを備えたシステムで Cisco Configuration Assistant Version 1.9 を起動して [設定(Configure)] > [セキュリティ(Security)] を選択し、[URL フィルタ(URL Filtering)] を選択します。

2. [URL リストのエクスポート(Export URL List)] をクリックし、リストを保存する場所を選択します。

3. [保存(Save)] をクリックし、URL リストを保存する場所を選択します。

侵入防御システム(IPS)

Cisco IOS Intrusion Prevention System(IPS; 侵入防御システム)とは、さまざまなネットワーク攻撃を効果的に軽減するインライン型の詳細なパケット インスペクション機能のことです。IPS は、Cisco SR520 ルータでのみサポートされています。

攻撃が検出されると、IPS デバイスは違反パケットを廃棄する一方、他のすべてのトラフィックの通過を許可します。IPS デバイスは、疑わしいアクティビティを検出すると、ネットワーク セキュリティが損害を受ける前に対応し、Cisco IOS syslog メッセージまたは Security Device Event Exchange(SDEE)を使用してイベントをログに記録します。

セッション中のデータ パケットは、署名パッケージまたは署名定義ファイル(SDF)と比較されます。パケットが署名と一致すると、署名がトリガーされ、イベントが攻撃として検出されます。

Cisco Configuration Assistant Version 1.9 の IPS 設定には、次の事項が該当します。

Cisco Configuration Assistant Version 1.9 は、次のものをサポートしています。

12.4 (20)T 以降のイメージを備えた SR520 での IPS 5.0

基本 IPS 設定、IPS 署名の更新、および IPS アラート

IPS セキュリティ ダッシュボード、IPS 署名編集機能、および監視機能はサポートされていません。

Cisco SR520 での IPS は、128MB SDF(基本署名セット)のみをサポートしています。

初期の IPS 設定では、次のことを行う必要があります。

IPS を有効にするデバイスを選択します。

パケット スキャン用のインターフェイスを選択します。

公開鍵の取得、署名パッケージのダウンロード、およびパッケージからの署名定義ファイルのルータへのインストールを行います。


) IPS は、IPS をサポートしている、Cisco SR520 セキュア ルータなどのデバイスでのみ設定できます。


IPS の設定

IPS を設定するには、次の手順に従います。

1. [ホスト名(Hostname)] リストで、IPS を有効にするデバイスを選択します。

2. IPS のインターフェイスを設定するには、[外部(信頼できない)インターフェイス/ゾーン(Outside (untrusted) Interface/Zone)] リストから外部インターフェイスを選択するか、[内部(信頼できる)インターフェイス/ゾーン(Inside (trusted) Interface/Zone)] リストから内部インターフェイスを選択します。

ルータで検出される利用可能なインターフェイスは、テーブルの [内部(Inside)] 列および [外部(Outside)] 列に表示されます。

外部および内部という用語は、インターフェイスで攻撃に対して IPS パケット スキャンを行う方向を指しています(着信パケット フローまたは発信パケット フロー)。

テーブルの [外部(Outside)] 列に表示されているインターフェイスに IPS を選択すると、IPS は、このインターフェイスの発信パケットのみをスキャンします。

同様に、テーブルの [内部(Inside)] 列に表示されているインターフェイスに IPS を選択すると、IPS は、このインターフェイスの着信パケットのみをスキャンします。

インターフェイスの発信または着信パケット フロー、またはその両方に対する IPS スキャンを有効にすることができます。IPS を有効にできるインターフェイスの数に制限はありません。

3. 公開鍵を取得します。

内部インターフェイスおよび外部インターフェイスを設定したら、表示されているリンクをクリックし、Cisco.com から公開鍵をダウンロードします。次に、鍵の鍵文字列セクションをコピーし、鍵のテキスト領域に貼り付けます。

公開鍵は必須であり、realm-cisco.pub という名前です。

4. 署名パッケージをダウンロードし、インストールします。

[SDF のインストール(Install SDF)] をクリックして [署名パッケージのダウンロード(Download Signature Package)] ダイアログを開くと、SDM-IPS 署名定義ファイル(SDF)パッケージをダウンロードするリンクが表示されます。

 

ダウンロード リンクをクリックして Cisco.com に移動し、SDM-IPS 署名パッケージのリストから Cisco IOS SDM-IPS 署名パッケージを選択します。SR520 での使用がサポートされているのは、基本カテゴリの SDM-IPS パッケージのみです。基本カテゴリは、最大 128 MB までのサイズの署名ファイルをサポートし、最大 128 MB のメモリのルータを対象としています。

ローカル PC 上の署名パッケージ ファイル(.zip ファイル)の場所を指定します。

[OK] または [適用(Apply)] をクリックします。[OK] または [適用(Apply)] をクリックすると、設定がルータに送信されます。

すべての IPS 関連の設定ファイルは、flash:/ips/ という場所に配置されます。

署名パッケージをインストールした後

[IPS 設定の削除(Delete IPS Configuration)] ボタン、[IPS 署名の更新(IPS Signature Updates)] タブ、および [IPS アラート(IPS Alerts)] タブがアクティブになります。

デバイスにロードされ有効になっている署名は、[IPS 署名の更新(IPS Signature Update)] タブに表示されます。

IPS 署名の更新

IPS 署名の更新が利用できるのは、IPS が正常に設定されていて、署名パッケージがダウンロードされている場合だけです。IPS 署名の更新は、SDM-IPS パッケージ ファイルに対してのみサポートされています。[IPS 署名の更新(IPS Signature Updates)] タブで、選択した SDF パッケージに対して、新しい更新済みの署名をインポートできます。

IPS 署名の更新をインポートするには、次の手順に従います。

1. [IPS] ウィンドウで、[IPS 署名の更新(IPS Signature Updates)] タブをクリックします。

2. リンクをクリックして Cisco.com を開き、IPS-SDM .sdf パッケージ ファイルを選択してダウンロードします。

3. ローカル PC 上の SDF パッケージ ファイル(.zip ファイル)の場所を指定します。

4. [署名の抽出(Extract Signatures)] をクリックして、インポート対象の、選択した SDF 内の新しい更新済みの署名を表示します。

5. [OK] をクリックして、テーブルに表示されている署名をルータにアップロードし、ルータの SDF パッケージ バージョンを更新します。

IPS アラート

IPS アラートには、侵入検知アラート、実行された処理、およびアラートごとの次のような情報が表示されます。

署名 ID および攻撃の説明

リスク評価

イベント処理

攻撃の発信元 IP アドレスおよび宛先 IP アドレス

ヒット数および破棄されたパケットの数

現在のアラートのリストを表示するには [アラートの表示(Show Alerts)] をクリックし、リストをクリアするには [アラートの解除(Clear Alerts)] をクリックします。