Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
概要
概要
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

概要

AAA

RADIUS および TACACS+ セキュリティ プロトコル

ユーザ アカウントおよびユーザ ロール

802.1X

IP ACL

MAC ACL

VACL

ポート セキュリティ

DHCP スヌーピング

DAI

IP ソース ガード

キーチェーン管理

トラフィック ストーム制御

概要

Cisco NX-OS がサポートするセキュリティ機能を利用すると、ネットワークをパフォーマンスの劣化や障害から保護するだけでなく、故意に行われる攻撃や、善意のネットワーク ユーザの意図しない危険な間違いにより生ずるデータの紛失または毀損に対しても保護できます。

ここでは、次の内容を説明します。

「AAA」

「RADIUS および TACACS+ セキュリティ プロトコル」

「ユーザ アカウントおよびユーザ ロール」

「802.1X」

「IP ACL」

「MAC ACL」

「VACL」

「ポート セキュリティ」

「DHCP スヌーピング」

「DAI」

「IP ソース ガード」

「キーチェーン管理」

「トラフィック ストーム制御」

AAA

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)は、3 つの独立したセキュリティ機能をまとめて一貫性のあるモジュラ形式で設定するためのアーキテクチャ フレームワークです。

認証 ― ログイン/パスワード ダイアログ、チャレンジ/レスポンス、メッセージング サポート、および選択したセキュリティ プロトコルによっては暗号化などによるユーザの識別方法を提供します。認証は、ユーザに対してネットワークとネットワーク サービスへのアクセスを許可する前に、ユーザの識別を行う方法です。AAA 認証の設定は、まず認証方式の名前付きリストを定義し、そのあと各種インターフェイスにそのリストを適用することで行います。

認可 ― ワンタイム許可またはサービスごとの許可、ユーザ単位のアカウント リストとプロファイル、ユーザ グループ サポート、および IP、IPX、ARA、Telnet のサポートなど、リモート アクセスの制御方法を提供します。

RADIUS や TACACS+ などのリモート セキュリティ サーバでは、権限が定義された AV のペアを適切なユーザに関連付けることにより、所定の権限をユーザに許可します。AAA 認可は、ユーザの実行可能な内容を指定したアトリビュートをまとめることで機能します。これらのアトリビュートとデータベースに格納されているユーザの情報とが比較され、その結果が AAA に返されてユーザの実際の権限と制限事項が決定されます。

アカウンティング ― ユーザ識別、開始時刻と終了時刻、実行コマンド(PPP など)、パケット数、バイト数などといったセキュリティ サーバ情報の収集と送信を行い、課金、監査、およびレポートに使用する手段を提供します。アカウンティングを使用することで、ユーザがアクセスしているサービスや、ユーザが消費しているネットワーク リソース量を追跡できます。


) 認証は AAA と別個に設定することができます。ただし RADIUS または TACACS+ を使用する場合や、バックアップの認証方式を設定する場合は、AAA を設定する必要があります。


AAA の設定手順については、 第 2 章「AAA の設定」 を参照してください。

RADIUS および TACACS+ セキュリティ プロトコル

AAA は、セキュリティ機能の管理にセキュリティ プロトコルを使用します。ルータまたはアクセス サーバがネットワーク アクセス サーバとして動作している場合は、ネットワーク アクセス サーバと RADIUS または TACACS+ セキュリティ サーバとの間の通信を確立する手段に、AAA が使用されます。

このマニュアルでは、次のセキュリティ サーバ プロトコルを設定する手順を説明します。

RADIUS ― 不正アクセスからネットワークを保護する分散型クライアント/サーバ システムです。RADIUS は AAA を使用して実装されます。シスコの実装では RADIUS クライアントはシスコ製ルータ上で稼働します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。

TACACS+ ― ルータまたはネットワーク アクセス サーバにアクセスしようとするユーザの検証を集中的に行うセキュリティ アプリケーションです。TACACS+ は AAA を使用して実装されます。TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で稼働する TACACS+ デーモンのデータベースで管理されます。TACACS+ は独立したモジュール型の認証、許可、およびアカウンティング機能を備えています。

RADIUS の設定手順については、 第 3 章「RADIUS の設定」 を参照してください。TACACS+ の設定手順については、 第 4 章「TACACS+ の設定」 を参照してください。

ユーザ アカウントおよびユーザ ロール

ユーザ アカウントの作成および管理を行い、NX-OS デバイス上で実行できる操作を制限するロールを割り当てることができます。Role-Based Access Control(RBAC; ロール ベース アクセス コントロール)を使用すると、割り当てたロールにルールを定義して、ユーザが行える管理操作の権限を制限できます。

ユーザ アカウントおよび RBAC の設定手順については、 第 5 章「RBAC の設定」 を参照してください。

802.1X

802.1X では、クライアント サーバ ベースのアクセス制御と認証プロトコルを定義し、許可されていないクライアントが公にアクセス可能なポートを経由して LAN に接続するのを規制します。認証サーバは、NX-OS デバイスのポートに接続されるクライアントを個々に認証します。

802.1X アクセス制御では、クライアントが認証されるまで、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信することができます。

802.1X の設定手順については、 第 6 章「802.1X の設定」 を参照してください。

IP ACL

IP ACL は、トラフィックをパケットのレイヤ 3 ヘッダーの IPv4 情報に基づいてフィルタリングするために使用できるルールの順序セットです。ルールには、パケットがルールと一致するために必須な条件セットを指定します。NX-OS ソフトウェアがパケットに IP ACL を適用することを判定するときは、すべてのルールの条件に照らしてパケットを調べます。最初の一致によってパケットを許可するか拒否するか判定します。一致するものがない場合は、NX-OS デバイスは適切なデフォルト ルールを適用します。NX-OS ソフトウェアは、許可されたパケットの処理を継続し、拒否されたパケットをドロップします。

IP ACL の設定手順については、 第 7 章「IP ACL の設定」 を参照してください。

MAC ACL

MAC(メディア アクセス制御)ACL は各パケットのレイヤ 2 ヘッダーの情報を使用してトラフィックをフィルタリングする ACL です。ルールには、パケットがルールと一致するために必須な条件セットを指定します。NX-OS ソフトウェアがパケットに MAC ACL を適用することを判定するときは、すべてのルールの条件に照らしてパケットを調べます。最初の一致によってパケットを許可するか拒否するか判定します。一致するものがない場合は、NX-OS デバイスは適切なデフォルト ルールを適用します。NX-OS ソフトウェアは、許可されたパケットの処理を継続し、拒否されたパケットをドロップします。

MAC ACL の設定手順については、 第 8 章「MAC ACL の設定」 を参照してください。

VACL

VLAN ACL(VACL)は、MAC ACL または IP ACL のアプリケーションの 1 つです。VACL を設定し、VLAN との間でルーティングされるかまたは VLAN 内でブリッジングされるすべてのパケットに適用できます。VACL は、セキュリティ パケット フィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトのみを目的としたものです。VACL は方向(入力または出力)では定義されません。

VACL の設定手順については、 第 9 章「VLAN ACL の設定」 を参照してください。

ポート セキュリティ

ポート セキュリティを使用すると、限定された MAC アドレス セットからのインバウンド トラフィックだけを許可するようなレイヤ 2 インターフェイスを設定できます。この限定セットの MAC アドレスをセキュア MAC アドレスといいます。さらに、デバイスは、同じ VLAN 内の別のインターフェイスでは、これらの MAC アドレスからのトラフィックを許可しません。セキュア MAC アドレスの数は、インターフェイス単位で設定します。

ポート セキュリティの設定手順については、 第 10 章「ポート セキュリティの設定」 を参照してください。

DHCP スヌーピング

DHCP スヌーピングは、信頼しないホストと信頼できる DHCP サーバとの間でファイアウォールのような機能を果たします。DHCP スヌーピングでは以下のアクティビティを実行します。

信頼しない送信元から受信した DHCP メッセージを検証し、無効なメッセージをフィルタリングします。

DHCP スヌーピング バインディング データベースを構築し維持します。このデータベースには、リースされた IP アドレスを持つ信頼できないホストに関する情報が含まれます。

DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。

DAI(ダイナミック ARP インスペクション)および IP ソース ガードも、DHCP スヌーピング バインディング データベースに格納された情報を使用します。

DHCP スヌーピングの設定手順については、 第 11 章「DHCP スヌーピングの設定」 を参照してください。

DAI

DAI を使用することで、有効な ARP 要求と応答だけが中継されることを保証できます。DAI がイネーブルになり適切に設定されている場合、NX-OS デバイスは次のアクティビティを実行します。

信頼できないポートを経由したすべての ARP 要求および ARP 応答を代行受信します。

代行受信した各パケットが、IP アドレスと MAC アドレスの有効なバインディングを持つことを確認してから、ローカル ARP キャッシュを更新するか、または適切な宛先にパケットを転送します。

無効な ARP パケットはドロップします。

DAI は DHCP スヌーピング バインディング データベースに保存された有効な IP アドレスと MAC アドレスのバインディングに基づき、ARP パケットの有効性を判断できます。このデータベースは、VLAN と装置上で DHCP スヌーピングがイネーブルにされている場合に、DHCP スヌーピングによって構築されます。ARP パケットを信頼できるインターフェイス上で受信した場合は、装置はこのパケットを検査せずに転送します。信頼できないインターフェイス上では、装置は有効性を確認できたパケットのみを転送します。

DAI の設定手順については、 第 12 章「ARP 検査の設定」 を参照してください。

IP ソース ガード

IP ソース ガードは、各パケットの IP アドレスと MAC アドレスが、IP と MAC のアドレス バインディングのうち、次に示す 2 つの送信元のどちらかと一致する場合にのみ IP トラフィックを許可するインターフェイス単位のトラフィック フィルタです。

DHCP スヌーピング バインディング テーブル内のエントリ

設定したスタティック IP ソース エントリ

信頼できる IP と MAC アドレス バインディングに基づいてフィルタリングするので、有効なホストの IP アドレスのスプーフィングを使用した攻撃の防止に役立ちます。IP ソース ガードを妨げるためには、攻撃者は有効なホストの IP アドレスと MAC アドレスを両方スプーフィングする必要があります。

IP ソース ガードの設定手順については、 第 13 章「IP ソース ガードの設定」 を参照してください。

キーチェーン管理

キーチェーン管理を使用すると、キーチェーンの作成と管理を行えます。キーチェーンは鍵のシーケンスを意味します(共有秘密ともいいます)。キーチェーンは、他の装置との通信を鍵ベース認証を使用して保護する機能と合わせて使用できます。装置では複数のキーチェーンを設定できます。

鍵ベース認証をサポートするルーティング プロトコルの中には、キーチェーンを使用してヒットレス キー ロールオーバーによる認証を実装できるものがあります。

キーチェーン管理の設定手順については、 第 14 章「キーチェーン管理の設定」 を参照してください。

トラフィック ストーム制御

トラフィック ストーム制御(トラフィック抑制ともいいます)を使用すると、着信トラフィックのレベルを 1 秒より大きなインターバルで監視できます。このインターバルで、トラフィックのレベル(ポートの使用可能な総帯域幅に占めるパーセンテージ)と、手動で設定されたトラフィック ストーム制御レベルが比較されます。入力とトラフィックがそのポートに設定されているトラフィック ストーム制御レベルに達すると、トラフィック ストーム制御機能によってインターバルが終了するまでトラフィックがドロップされます。

トラフィック ストーム制御の設定手順については、 第 15 章「トラフィック ストーム制御の設定」 を参照してください。