Cisco 850 / 870 シリーズ アクセス ルータ ソフトウェア コンフィギュレーション ガイド
セキュリティ機能の設定
セキュリティ機能の設定
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

セキュリティ機能の設定

AAA

AutoSecure の設定

アクセス リストの設定

アクセス グループ

アクセス グループを作成する際の注意事項

CBAC ファイアウォールの設定

Cisco IOS ファイアウォール IDS の設定

VPN の設定

セキュリティ機能の設定

この章では、Cisco 850 および Cisco 870 シリーズ アクセス ルータで設定可能なセキュリティ機能を実装するシスコの主要なフレームワークである Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)の概要について説明します。


) ルータの各モデルは、このマニュアルに記載されている機能の一部をサポートしていない場合があります。特定のルータでサポートされていない機能は、可能な限り明示されています。


この章の内容は次のとおりです。

AAA

AutoSecure の設定

アクセス リストの設定

CBAC ファイアウォールの設定

Cisco IOS ファイアウォール IDS の設定

VPN の設定

どのセクションにも、該当するものがある場合には設定例と確認手順が記載されています。

AAA

AAA のネットワーク セキュリティ サービスは、ルータ上でアクセス制御を設定するための主要なフレームワークを提供します。認証は、ユーザを識別する手段を提供します。これには、ログインおよびパスワード ダイアログ、チャレンジ/応答、メッセージ サポート、および暗号化(選択したセキュリティ プロトコルに基づく)などがあります。許可は、リモート アクセス制御の手段を提供します。これには、一時的な許可またはサービスごとの許可、ユーザ単位のアカウント リストおよびプロファイル、ユーザ グループのサポート、および IP、Internetwork Packet Exchange(IPX)、AppleTalk Remote Access(ARA)、Telnet のサポートなどがあります。アカウンティングは、ユーザ ID、開始時刻および終了時刻、実行されたコマンド(PPP など)、パケット数、およびバイト数などの課金、監査、および報告に使用するセキュリティ サーバ情報の収集および送付を行う手段を提供します。

AAA は RADIUS、TACACS+、または Kerberos などのプロトコルを使用してセキュリティ機能の管理を行います。ルータがネットワーク アクセス サーバとして機能している場合、AAA はネットワーク アクセス サーバとRADIUS、TACACS+、または Kerberos セキュリティ サーバ間で通信を確立する手段となります。

AAA サービスの設定およびサポートされているセキュリティ プロトコルの詳細については、『 Cisco IOS Security Configuration Guide 』で次の各項を参照してください。

「Configuring Authentication」

「Configuring Authorization」

「Configuring Accounting」

「Configuring RADIUS」

「Configuring TACACS+」

「Configuring Kerberos」

AutoSecure の設定

AutoSecure 機能は、ネットワーク攻撃の対象になる可能性のある一般的な IP サービスを無効にして、攻撃時のネットワークの防御に役立つ IP サービスと機能を有効します。これらの IP サービスは、コマンドを 1 回使用するだけで一度に無効および有効に設定されるため、ルータのセキュリティ設定が大幅に簡素化されます。AutoSecure 機能の詳細については、 AutoSecure 機能のマニュアルを参照してください。

アクセス リストの設定

アクセス リスト(ACL)は、送信元 IP アドレス、宛先 IP アドレス、またはプロトコルに基づいてインターフェイス上でネットワーク トラフィックの許可または拒否を行います。アクセス リストは、標準アクセス リストまたは拡張アクセス リストとして設定します。標準アクセス リストは、指定された送信元からのパケットの通過を許可または拒否します。拡張アクセス リストの場合は、宛先と送信元の両方を指定でき、個別のプロトコルの通過を許可または拒否するように指定できます。アクセス リストは、共通のタグを使用して結合された一連のコマンドです。タグは番号または名前のいずれかです。 表12-1 は、アクセス リストの設定に使用するコマンドを示しています。

 

表12-1 アクセス リストの設定コマンド

ACL タイプ
設定コマンド
番号指定

標準

access-list { 1-99 }{ permit | deny } source-addr [ source-mask ]

拡張

access-list { 100-199 }{ permit | deny } protocol source-addr [ source-mask ] destination-addr [ destination-mask ]

名前指定

標準

ip access-list standard name followed by deny { source | source-wildcard | any }

拡張

ip access-list extended name followed by {permit | deny} protocol { source-addr [ source-mask ] | any }{ destination-addr [ destination-mask ] | any }

アクセス グループ

共通の名前または番号を使用して結合された一連のアクセス リスト設定はアクセス グループと呼ばれます。アクセス グループは、インターフェイスの設定時に次のコマンドを使用することで、インターフェイスに対してイネーブルになります。

ip access-group { access-list-number | access-list-name }{ in | out }

ここで、 in | out はフィルタリングするパケットの伝送方向を示します。

アクセス グループを作成する際の注意事項

アクセス グループを作成する際には、次の点に注意します。

アクセス リスト設定の順序は重要です。パケットはシーケンスの一番最初のアクセス リストと比較され、一致しない場合(許可または拒否のいずれでもない場合)、パケットは次のアクセス リストと比較され、以降同様に処理されます。

パケットを許可または拒否するには、すべてのパラメータがアクセス リストと一致する必要があります。

すべてのシーケンスの最後には暗黙的な「deny all」が存在しています。

アクセス リスト作成に関する詳しい内容については、『 Cisco IOS Release 12.3 Security Configuration Guide 』の「 Access Control Lists: Overview and Guidelines」の章を参照してください。

CBAC ファイアウォールの設定

Context-Based Access Control(CBAC; コンテキスト ベースのアクセス コントロール)を使用すると、パケットを内部で検査し、ネットワーク接続の状態を監視するステートフルなファイアウォールを設定できます。アクセス リストは、パケットのストリームではなく、個別のパケットに基づいてトラフィックを許可または拒否するだけなので、この方法はスタティックなアクセス リストよりも優れています。また、CBAC はパケットの検査を行うため、アプリケーション レイヤのデータを調べてトラフィックの許可または拒否を判断できます。スタティックなアクセス リストでは、このような処理を行うことはできません。

CBAC ファイアウォールを設定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用して、検査するプロトコルを指定します。

ip inspect name inspection-name protocol timeout seconds

検査によって指定されたプロトコルがファイアウォールを通過していることが検出されると、ダイナミックなアクセス リストが作成されて、戻りトラフィックの通過が許可されます。 timeout パラメータでは、ルータを通過する戻りトラフィックが存在しない場合にダイナミック アクセス リストをアクティブにしておく時間を指定します。所定のタイムアウト値が経過すると、ダイナミック アクセス リストは削除されるため、後続のパケット(通常、有効なパケット)は許可されません。

複数のステートメントで同じ検査名を使用すると、それらは 1 つのルール セットにまとめられます。コンフィギュレーションの別の場所でこのルールを有効にするには、ファイアウォールのインターフェイスを設定する際に ip inspect inspection-name in | out コマンドを使用します。

設定例については、「簡易ファイアウォールの設定」を参照してください。CBAC ファイアウォールの設定に関する詳しい内容については、『 Cisco IOS Release 12.3 Security Configuration Guide 』の「 Configuring Context-Based Access Control 」を参照してください。

Cisco IOS ファイアウォール IDS の設定

Cisco IOS ファイアウォールの Intrusion Detection System(IDS; 侵入検知システム)テクノロジーは、セキュリティ ポリシーに違反したり、不正なネットワーク動作を示したりするパケットおよびフローに適切に対処することによって、境界部分のファイアウォール保護を強化します。

Cisco IOS ファイアウォール IDS は、「シグニチャ」を使用してネットワーク トラフィックの悪用パターンを検出することにより、最も発生頻度の高い 59 の攻撃を識別します。Cisco IOS ファイアウォール IDS は、インライン型の侵入検知装置として機能し、ルータを通過するパケットおよびセッションを監視して、IDS シグニチャとの比較を行います。Cisco IOS ファイアウォール IDS は、不審な動作を検出すると、ネットワーク セキュリティが破られる前に対処してイベントを記録します。また、設定に応じて、アラームの送信、疑わしいパケットの廃棄、または TCP 接続のリセットを行います。

Cisco IOS ファイアウォール IDS の設定に関する詳しい内容については、『 Cisco IOS Release 12.3 Security Configuration Guide 』の「 Configuring Cisco IOS Firewall Intrusion Detection System」を参照してください。

VPN の設定

Virtual Private Network(VPN; 仮想私設網)接続を使用すると、インターネットなどのパブリック ネットワーク上で 2 つのネットワーク間のセキュアな接続を実現できます。Cisco 850 および Cisco 870 シリーズ アクセス ルータは、IP Security(IPSec)トンネルおよび Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)を使用したサイト間 VPN をサポートしています。2 つのピア間での永続的な VPN 接続、または必要に応じて VPN 接続の確立と切断を行う EZVPN や DMVPN を使用したダイナミックな VPN を設定できます。これらの機能を使用したルータの設定例については、「Easy VPN および IPSec トンネルによる VPN の設定」および「IPSec トンネルおよび GRE による VPN の設定」を参照してください。IPSec および GRE の設定に関する詳しい内容については、『 Cisco IOS Release 12.3 Security Configuration Guide 』の「 Configuring IPSec Network Security 」の章を参照してください。

Cisco 850 および Cisco 870 シリーズ アクセス ルータがサポートしているその他の VPN 設定については、次の機能のマニュアルを参照してください。

EZVPN サーバ ― Cisco 850 および Cisco 870 シリーズ ルータは、EZVPN サーバとして設定できます。この機能を使用すると、許可された EZVPN クライアントは、接続されたネットワークに対してダイナミックな VPN トンネルを確立できます。

Dynamic Multipoint VPN(DMVPN) ― DMVPN 機能は、マルチポイント構成の複数のルータ間に必要に応じて VPN トンネルを構築するため、設定が簡素化され、永続的なポイントツーポイントの VPN トンネルを使用する必要がありません。