ASA CX および Cisco Prime Security Manager 9.0 ユーザ ガイド
ASA CX の使用例
ASA CX の使用例
発行日;2013/04/11   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

ASA CX の使用例

ここでは、ASA CX で実行する共通のタスクについていくつか説明します。

ASA CX をトランスペアレント モードで設定する方法

従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。 これに対し、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。 その代わりに、ASA はインターフェイス間で同じネットワークを接続します。

次の図に、トランスペアレント ファイアウォールの一般的な例を示します。 ブリッジ グループ インターフェイスを設定して、同じネットワークに接続するインターフェイスをグループ化します。

図 1. トランスペアレント ファイアウォール ネットワーク



トランスペアレント ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。 トランスペアレント モードで動作するように ASA を設定すると、ASA CX は自動的にトランスペアレント モードで動作します。

次の手順は、ASA をトランスペアレント モードで設定する基本的な例を示しています。 ASA CLI を使用してモードを設定します。 トランスペアレント モードの設定の詳細については、いずれかの ASA コンフィギュレーション ガイド(http:/​/​www.cisco.com/​en/​US/​docs/​security/​asa/​asa84/​configuration/​guide/​mode_​fw.html など)で、トランスペアレント モードの章を参照してください。

はじめる前に

この例では、すでに ASA CX ネットワークがASA CX ソフトウェアの設定の説明に従って設定されていることを前提としています。 ただし、この手順を完了した後で、基本的な設定を行うことができます。

手順
    ステップ 1   コンソール ポートを使用して ASA CLI にログインします。

    SSH クライアントを使用しているときにファイアウォール モードを変更すると、コンフィギュレーションがクリアされるときに切断されるので、いずれにしてもコンソール ポートを使用して ASA に再接続する必要があります。

    ステップ 2   設定モードを開始し、ファイアウォール モードをトランスペアレントに設定します。

    例:
    ciscoasa# conf t 
    ciscoasa(config)# firewall transparent 
    INFO: UC proxy will be limited to maximum of 2 sessions by the UC Proxy license on the device
    
    
    ステップ 3   インターフェイスとブリッジ グループを設定します。

    例:

    次の例で、内部インターフェイスと外部インターフェイスを作成し、これらをブリッジ グループ 1 に追加して、ブリッジ グループに管理 IP アドレスを割り当てる方法を示します。 この例では、以前のインターフェイス設定があることを前提としており、show コマンドを使用して入力を確認します。

    ciscoasa(config)# int g0/0
    ciscoasa(config-if)# no shut
    ciscoasa(config-if)# nameif inside
    INFO: Security level for "inside" set to 100 by default.
    ciscoasa(config-if)# bridge-group 1
    ciscoasa(config-if)# int g0/1
    ciscoasa(config-if)# nameif outside
    INFO: Security level for "outside" set to 0 by default.
    ciscoasa(config-if)# no shut
    ciscoasa(config-if)# bridge-group 1
    ciscoasa(config-if)# int BVI1
    ciscoasa(config-if)# ip address 10.1.1.2 255.255.255.0
    ciscoasa(config-if)# sh run int g0/0
    !
    interface GigabitEthernet0/0
     nameif inside
     bridge-group 1
     security-level 100
    ciscoasa(config-if)# sh run int g0/1
    !
    interface GigabitEthernet0/1
     nameif outside
     bridge-group 1
     security-level 0
    ciscoasa(config-if)# sh run int BVI1
    !
    interface BVI1
     ip address 10.1.1.2 255.255.255.0 
    ciscoasa(config-if)# exit
    ciscoasa(config)#
    
    
    ステップ 4   トラフィック リダイレクション ポリシーを設定します。

    例:

    次の例で、アクティブな認証ポリシーをサポートするように認証プロキシをイネーブルにして、すべてのトラフィックを ASA CX にリダイレクトする例を示します。 何らかの理由で ASA CX が利用できない場合、トラフィックは ASA セキュリティ ポリシー(フェール オープン)に基づいて ASA を通過します。

    asa(config)# policy-map global_policy
    asa(config-pmap)# class class-default
    asa(config-pmap-c)# cxsc fail-open auth-proxy
    asa(config-pmap-c)# exit
    asa(config-pmap)# exit
    asa(config)#
    
    
    ステップ 5   ポリシー マップがまだアクティブ サービス ポリシーでない場合は、service-policy コマンドを使用してイネーブルにする必要があります。

    必要な場合、コマンドの no 形式を使用して、既存のサービス ポリシーを削除します。 たとえば、次のコマンドによって、ユーザ定義のグローバル ポリシーが削除され、デフォルトのグローバル ポリシーに置き換えられます。



    例:
    asa(config)# no service-policy existing_global_policy global 
    asa(config)# service-policy global_policy global 
    asa(config)#
    
    
    ステップ 6   write memory と入力して、変更を実行コンフィギュレーションに保存します。

    次の作業

    これで、ASA CX セキュリティ ポリシーを設定し、ASA CX Web インターフェイスを使用してトラフィックをモニタできるようになります。

    ネットワーク トラフィックを調べる方法

    ポリシーを ASA CX に実装する前に、ネットワークで実際に発生しているトラフィックを調べると役立ちます。 トラフィックを禁止せずに、すべてのトラフィックを処理するように ASA CX を設定できます。 ASA 上の既存のファイアウォール ルールをそのままにすると、現在のセキュリティ レベルを下げずに、ASA CX のモニタリング機能を使用してネットワーク トラフィックを分析できます。

    ASA CX レポートによって、次のことがわかります。
    • ネットワークの用途
    • 最も多くネットワークを使用しているユーザ
    • ユーザの接続先
    • ユーザが使用しているデバイス
    • 最も多くヒットしているポリシー
    ASA CX の暗黙的なアクセス ポリシー動作としては、すべてのトラフィックが許可されます。 レポートで「Implicit Allow」と表示されるこのポリシーを使用することもできますが、明示的にすべてのトラフィックを許可するポリシーを作成することもできます。 このルールで十分な量のトラフィック分析データが提供されますが、次のように、さらにデータを提供する追加のポリシーが必要です。
    • レポートでユーザごとの情報を取得するには、アイデンティティ ポリシーが必要です。
    • TLS/SSL(HTTPS)トラフィックについて調べるには、復号化ポリシーが必要です。

    次の手順で、ASA CX をモニタリング モードで設定する方法を説明し、設定ポリシーおよびモニタリング ポリシーのエンドツーエンド プロセスの概要を示します。

    手順
      ステップ 1   ASA から ASA CX に、すべてのトラフィックをリダイレクトします。

      リダイレクション ポリシーを定義するときに、ポリシーを特定のインターフェイスまたはポートに制限しないでください。 レポートにすべてのトラフィックが反映されるように、単純にすべてのトラフィックを ASA CX に送信します。 ASA アクセス ルールによって着信インターフェイスでトラフィックがドロップされると、そのトラフィックは ASA CX に送信されません。

      トラフィックのリダイレクトの詳細については、ASA CX SSP にトラフィックを送信する ASA の設定を参照してください。

      ステップ 2   (任意)明示的な Allow All Traffic アクセス ポリシーを設定します。
      1. [Policies] > [Policies] を選択します。
      2. アクセス ポリシーのセットの上にマウスを置き、[Add New Policy] をクリックします。




      3. アクセス ポリシーのプロパティで、ポリシーの名前(「Allow All Traffic」など)を入力し、すべてのトラフィック照合フィールドをデフォルトの [Any] のままにして、[Save Policy] をクリックします。

        ポリシー リストに新しいポリシーが表示されます。 ポリシーの右側にある時計アイコンは、変更が保留されていることを示します。ポリシーは、変更が保存されるまで、アクティブになりません。





      ステップ 3   (任意)ユーザの動作を調べるには、トラフィック フローに関連付けられているユーザを識別するアイデンティティ ポリシーを設定する必要があります。
      ユーザ情報を取得する、相互排他ではない 2 つのオプションがあります。
      • アクティブ認証を使用します。この場合、NTLM または Kerberos を使用して透過的に認証するか、ユーザが ASA CX を通じてネットワーク接続を行ったときに、認証プロンプトに応答するように要求します。 アクティブ認証の利点として、ユーザ ID を取得できる点があります。 ただし、ユーザが認証されるのは、ネットワークにログインしてから最初に HTTP 接続を試行したときだけです。 そのため、ログインしてからユーザのトラフィックにユーザ ID が関連付けられるまで遅延が発生し、アイデンティティ ベースのポリシーの価値に影響が生じる可能性があります。
      • Active Directory(AD)ログインに基づいてパッシブにユーザと IP アドレスのマッピングを取得するように、AD エージェントを設定します。 AD エージェントを使用する利点として、ユーザのログイン時にユーザ ID が取得されるため、ユーザが HTTP 接続をする前にアイデンティティ ベースのポリシーを適用できる点があります。

      次の手順で、アクティブ認証を使用する方法を説明します。 ディレクトリ レルムを作成し、ディレクトリをレルムに追加して、アイデンティティ ポリシーを設定する必要があります。

      1. [Device] > [Directory Realm] を選択します。
      2. [I Want To] > [Add Realm] を選択します。
      3. [Add Realm] フォームで、レルムの名前を入力し、ディレクトリ タイプを選択します。 Active Directory を選択する場合は、プライマリ ドメイン名と、ドメインに参加できるユーザ名およびパスワードも入力する必要があります。

        詳細については、ディレクトリ レルムの設定を参照してください。 [Test Domain Join] リンクをクリックして、AD ドメインにデバイスが参加できることを確認します。 次の図は、AD レルムの設定例です。





      4. [Save] をクリックしてディレクトリ レルムを作成し、レルムのリストに戻ります。 直接 ASA CX を(シングル デバイス モードで)設定していて、これが最初のレルムである場合、レルムのアイデンティティ ポリシーが自動的に作成されます。
      5. 作成したレルムの上にマウスを置き、[Add New Directory] をクリックします。




      6. [Add Directory] フォームで、ディレクトリの DNS 名または IP アドレスを入力し、ディレクトリからユーザおよびグループの情報を取得するために必要なその他の属性を入力します。

        各フィールドの詳細については、ディレクトリのプロパティを参照してください。 [Test Connection] リンクをクリックして、入力した値を確認します。 次の図は、AD ディレクトリの設定例です。 [Save] ボタンの横のテスト結果メッセージに注意してください。





      7. [Save] をクリックして、ディレクトリをレルムに追加します。

        次の図に、完了したレルムを示します。 変更保留中の時計アイコンに注意してください。これは、アクティブな設定の一部にするには、変更を保存する必要があることを示しています。





      8. [Policies] > [Policies] を選択します。
      9. 次のいずれかを実行して、アイデンティティ ポリシーを設定します。
        • レルムを追加したときに、自動的にアイデンティティ ポリシーが作成された場合は、ポリシーの上にマウスを置き、[Edit Policy] をクリックします。
        • それ以外の場合は、アイデンティティ ポリシーのセットの上にマウスを置き、[Add New Policy] をクリックします。
      10. アクションとして [Get Identity via Active Authentication] を選択し、必要に応じて他のポリシー設定を調整します。

        AD を使用する場合は、実行する認証のタイプを選択できます。 [Advanced] を選択すると、AD ディレクトリ サーバおよびクライアントでサポートされる最も強力な方式でデバイスのネゴシエートができます。 ポリシー名も調整できます。また、ポリシーをすべての送信元および宛先に適用するのではない場合は、送信元と宛先も調整できます。 その他のオプションの詳細については、アイデンティティ ポリシーのプロパティを参照してください。

        次の図に、ネゴシエートされた認証方式でアクティブ認証を設定するときのアクション設定を示します。





      11. [Save Policy] をクリックします。
      ステップ 4   (任意)HTTPS トラフィックを調べるには、復号化をイネーブルにして、復号化ポリシーを定義します。
      (注)     

      復号化を設定するときには注意が必要です。 ほとんどの金融サイトを含む多くのサイトは、復号化すると機能しなくなります。 そのため、最初はレピュテーションが低いトラフィックのみを復号化するポリシーを作成し、製品に慣れるに従って、徐々に復号化ポリシーを追加します。

      1. [Device] > [Decryption] を選択します。
      2. [Enable Decryption Policies: On] を選択します。
      3. [Certificate Initialization Method] で、新しい CA 証明書を生成するか、既存の CA 証明書をインポートするかを選択します。

        このステップは、復号化と証明書要件についてよく理解している必要があるため、見た目以上に複雑です。 証明書を設定する前に、復号化証明書の設定を参照してください。

      4. [Save] をクリックします。
      5. [Policies] > [Policies] を選択します。
      6. 復号化ポリシーのセットの上にマウスを置き、[Add New Policy] を選択します。
      7. ポリシー名にわかりやすい名前を付けます。ポリシーをすべての送信元および宛先に適用するのではない場合は、送信元と宛先を調整します。
      8. 最初は、[Decrypt Potentially Malicious Traffic] を選択して、復号化をレピュテーションが低いトラフィックに制限します。

        これによって、復号化を使用すると宛先が機能しなくなる場合でも、いずれにしてもユーザのアクセスを制限したいようなレピュテーションが低いサイトに、アクセスの問題が隔離されます。 このオプションを選択する場合は、低いと判断されるレピュテーション値を定義する Web レピュテーション プロファイルも選択する必要があります。 最初は、次の図で示すように、事前定義されている [Default Reputation Profile] オブジェクトを選択します。





      9. [Save Policy] をクリックします。
      ステップ 5   変更を保存します。

      ポリシーの変更は、すぐには適用されません。 明示的に保存する必要があります。 このステップによって、部分的に設定された状態でデバイスを動作させることなしに、密接に関連する複数の変更を行うことができます。

      1. メニュー バーの右側にある [Changes Pending] リンクをクリックします。




      2. [Commit] をクリックして、変更を設定データベースに保存します。




      ステップ 6   レポートと Event Viewer を使用して、トラフィックを分析します。
      次の内容を表示できます。
      • ネットワーク全体の使用状況。
      • ユーザ、アプリケーション、宛先、ヒットしたポリシーの上位リスト。
      • ローカル ポリシーと リモート(VPN)トラフィックの対比、上位のデバイス タイプ。
      • 脅威に関する情報。
      • デバイスの状態およびパフォーマンス。

      また、詳細情報にドリルダウンしたり、リンクによって Event Viewer でイベントを表示したりできます。 Event Viewer では、発生したイベントをリアルタイムで表示したり、指定した時間に発生したイベントを表示したりできます。


      次の作業

      望ましくないアクティビティが特定された場合、新しいポリシーを作成するか、既存のポリシーを修正して、アクセプタブル ユース ポリシーを実装します。
      • アクセス ポリシーを使用して、アプリケーションおよび Web サイトの使用を制御します。
      • アクセス ポリシーを使用して、レピュテーションが低い Web サイトへのトラフィックを選択的にドロップします。
      • アクセス ポリシーを使用して、ファイルのアップロードまたはダウンロードを選択的に禁止します。
      • 復号化ポリシーを調整して、追加のトラフィック フローを復号化するか、安全で許容される HTTPS トラフィックの復号化を明示的にバイパスします。 たとえば、金融 Web カテゴリのサイトへのトラフィックは復号化しないルールを作成できます。
      • すべてのユーザについてアクティブな認証を必要としないようにする場合は、アイデンティティ ポリシーを調整します。 たとえば、Active Directory を使用する場合は、AD エージェントを設定してユーザ情報をパッシブに取得できます。

      アプリケーションの使用を制御する方法

      Salesforce.com や Google Apps などのブラウザ ベースのアプリケーション プラットフォームか、または企業ネットワークの内部および外部で広く使用できる転送として Web プロトコルを使用する Cisco WebEx などのリッチ メディア アプリケーションかにかかわらず、Web は企業内でアプリケーションを配信するユビキタス プラットフォームになりました。

      ASA CX には、Application Visibility and Control エンジン(AVC エンジン)が含まれており、特定のアプリケーション タイプをより細かく制御できます。 AVC エンジンは Web トラフィックを検査して、アプリケーションで使用される Web トラフィックをより詳しく理解し、制御します。 アプリケーション制御によって、たとえば URL フィルタリングのみを使用した場合と比較して、より細かく Web トラフィックを制御できます。

      AVC エンジンを使用すると、各アプリケーションの基盤技術を完全に理解しなくても、ネットワーク上でのアプリケーション アクティビティを制御するアクセス ポリシーを作成できます。

      アプリケーション制御によって、次のアプリケーション タイプをより細かく制御できます。
      • 回避アプリケーション(アノニマイザや暗号化トンネルなど)。
      • コラボレーション アプリケーション(Cisco WebEx、インスタント メッセージなど)。
      • リソースを大量消費するアプリケーション(ストリーミング メディアなど)。

      AVC エンジンを使用して、アプリケーション タイプごとに、または特定のアプリケーションをブロックまたは許可できます。 また、特定のアプリケーション タイプをより細かく制御できます。 たとえば、インスタント メッセージのトラフィックを許可し、インスタント メッセンジャを使用したファイルの共有を禁止できます。

      AVC エンジンは、Cisco アップデート サーバから、新しいアプリケーションおよびアプリケーション タイプのサポートを含むアップデートを動的に受信できます。


      (注)  


      アプリケーションが暗号化されたトラフィック フロー(TLS/SSL)を使用する場合は、アプリケーションのアクセス ポリシーとトラフィック フローを復号化する復号化ポリシーを組み合わせる必要があります。 アプリケーションが認識され、アクセス ポリシーで操作されるには、トラフィック フローを復号化する必要があります。 ただし、多くのアプリケーションは復号化すると機能しなくなるため、一部の TLS/SSL アプリケーションを制御するには、URL フィルタリングの使用が必要になることに注意してください。


      次の例で、すべての IM アプリケーション(Yahoo Messenger、Google Talk、AOL Instant Messenger など)を許可し、IM アプリケーションを通じたすべてのファイル転送をブロックする方法を示します。

      手順
        ステップ 1   [Policies] > [Policies] を選択します。
        ステップ 2   アクセス ポリシーのセットの上にマウスを置き、[Add New Policy] をクリックします。

        または、ポリシーを配置する位置のすぐ下にあるポリシーの上にマウスを置き、[Add Above] をクリックします。

        ステップ 3   ポリシーの名前を入力します。ポリシーを特定のネットワークに制限する場合は、[source] および [destination] フィールドを変更します。 ネットワーク上のすべての IM アプリケーション ユーザに適用するポリシーを作成する場合は、[source] と [destination] を [Any] のままにします。

        アクションは [Allow] のままにします。

        ステップ 4   [Application/Service] フィールドで、[Instant Messaging [Application Type]] を選択します。

        アプリケーションまたはアプリケーション タイプを選択したときに、アプリケーションに設定可能な動作が含まれていると、[Application] フィールドの下に動作が表示されます。 たとえば、Yahoo Messenger および MSN Messenger には、ファイル転送の動作が含まれています。 動作によって、アプリケーションで利用できるアクティビティを細かく制御できますが、すべてのアプリケーションに、明示的に識別可能な動作があるわけではありません。

        この例では、IM アプリケーションを通じたすべてのファイル転送をブロックするため、[File Transfer] 動作のアクションとして [Deny] を選択します。





        ステップ 5   設定可能な細かい動作が含まれていない IM アプリケーションに対しては、ファイル フィルタ プロファイルを使用してファイル転送をブロックする必要があります。 ファイル フィルタ プロファイルを設定するには、次の操作を実行します。
        1. [File Filtering Action Profile] フィールドの下にある [Create New Profile] リンクをクリックします。 ページの右側に [Add File Filter Profile] フォームが開きます。
        2. プロファイル名を入力します(Block All File Transfers など)。
        3. [Block File Downloads] フィールドと [Block File Uploads] フィールドの両方に、*/* と入力します。 アスタリスク ワイルドカードは、すべてのメディア(MIME)タイプを示します。




        4. [Save Object] をクリックします。
        5. アクセス ポリシーの [File Filtering Action Profile] フィールドで、新しいオブジェクトを選択します。
        ステップ 6   [Save Policy] をクリックします。




        ステップ 7   必要な場合、ポリシー リストの適切な場所にポリシーを移動します。
        ステップ 8   変更を保存します。

        パッシブ認証の使用方法

        ユーザ ベースの情報をレポートに表示したり、ユーザ ベースのポリシーを実装するには、トラフィック フローに関連付けられているユーザの ID が認識される必要があります。 そのため、ユーザはネットワークに接続するときに、ID を入力する必要があります。

        ユーザ ID を取得する 2 つのオプションがあります。 Active Directory(AD)を通じてユーザがネットワーク ドメインにログインしたときに、ユーザの ID をキャプチャするパッシブ認証を使用できます。または、ユーザに対してアクティブに認証を要求するプロンプトを表示できます。 OpenLDAP を使用する場合、使用できる方式はアクティブ認証だけです。 次の表は、これらの方式を比較したものです。

        表 1 パッシブ認証とアクティブ認証の比較

        パッシブ認証

        アクティブ認証

        ドメインにログインするときに、ユーザ名とユーザのワークステーションの IP アドレスとのマッピングが取得されます。 マッピングは Cisco AD エージェントで収集され、ASA CX に送信されます。 サポートされるのは AD だけです。

        LDAP および AD の基本認証がサポートされます。AD 対応の NTLM および Kerberos もサポートされます。

        ユーザが HTTP 接続を試行したときにだけ、認証が発生します。

        ベストエフォートでのユーザ ID であって、実際の認証ではありません。

        実際の認証です。

        アクティブ認証をサポートしないアプリケーションおよびクライアントに有用です。

        ネットワークへのアクセスに使用するクライアントは、アクティブ認証をサポートする必要があります。つまり、認証情報を提供できるか、ユーザに提供を要求できます。

        ユーザに対して完全に透過的です

        NTLM および Kerberos は、通常、透過的ですが、基本認証ではユーザ名とパスワードを取得するためにポップアップが表示されます。

        AD エージェントが必要です。 AD エージェントは独立したソフトウェアで、ネットワークにあるサーバ上にインストールして設定する必要があります。 AD サーバおよび ASA CX と通信します。

        エージェントは必要ありません。

        ASA CX は、Cisco AD エージェント ソフトウェアを使用して、ネットワークでユーザのパッシブ認証情報を取得します。 ユーザが Active Directory にログインすると、ユーザの IP アドレス マッピングが AD エージェントに送信されてから、そのマッピングが ASA CX に伝達されます。

        ユーザ グループのメンバーシップは、AD または LDAP サーバから直接取得されます。ASA CX は、この情報については AD エージェントを使用しません。

        次の手順で、AD エージェントを設定して ASA CX で使用できるように設定する方法を説明します。

        はじめる前に
        • AD エージェント ソフトウェアは ASA CX とは別になっています。 AD エージェント アプリケーションを Cisco.com からダウンロードします。 次のリンクを使用するか、Cisco.com で検索して、AD エージェント アプリケーションをダウンロードします。 http://www.cisco.com/cisco/software/release.html?mdfid=281191384&flowid=4378&softwareid=280775065&release=AD_Agent&rellifecycle=&relind=AVAILABLE&reltype=all
        • AD エージェントのインストール、設定、使用の詳細については、http:/​/​www.cisco.com/​en/​US/​docs/​security/​ibf/​setup_guide/​ad_​agent_​setup_​guide.html を参照してください。
        • AD エージェントの設定はオプションです。 パッシブ マッピングをサポートする場合にのみ設定します。 パッシブ マッピングをサポートしない場合は、認証ルールでアクティブ認証を強制する必要があります。そうしない場合、アクセス コントロールにユーザ名を使用できず、イベントおよびレポートにユーザ情報が含まれません。
        • 認証に成功しないと、ネットワークにアクセスできないわけではありません。 ユーザがパッシブまたはアクティブな認証に失敗した場合、これは、単純にユーザのトラフィック フローでユーザ ID を使用できないという意味になります。
        手順
          ステップ 1   http:/​/​www.cisco.com/​en/​US/​docs/​security/​ibf/​setup_guide/​ibf10_​install.html で説明されている手順に従って、AD エージェントをインストールして設定します。

          クライアントの設定まで進んだら、ASA CX をクライアントとして設定します(まず、IDF\CLI に cd で移動します)。

          adacfg client create -n ASA-CX-nickname -ip ASA-CX_mgmt_IP -secret RADIUS_secret
          それぞれの説明は次のとおりです。
          • ASA-CX-nickname は、AD エージェントが ASA CX クライアントを参照するために使用する名前です。
          • ASA-CX_mgmt_IP は、ASA CX 管理インターフェイスの IP アドレス、またはアドレスが含まれるサブネットです(10.100.10.1 または 10.100.10.0/24 など)。
          • RADIUS_secret は、ASA CX でも設定する RADIUS 共有秘密です。 これによって、ASA CX と AD エージェントの通信が暗号化され、保護されます。

          ヒント:

          設定の確認またはトラブルシューティングには、次の AD エージェント コマンドが役に立ちます。
          • adacfg dc list。AD エージェントと AD サーバの接続を確認します。
          • adacfg cache list。エージェントがユーザと IP のマッピングを取得していることを確認します。
          • adacfg client list。AD エージェントが現在サービスを行っているクライアントのリストを表示します。
          ステップ 2   PRSMシングル デバイス モードまたはマルチ デバイス モード)で、AD エージェントを識別します。
          1. [Device] > [AD Agent] を選択します。
          2. AD エージェントの DNS ホスト名を入力します。
          3. [Password] に、RADIUS 共有秘密を入力します。
          4. [Save] をクリックします。
          ステップ 3   AD レルムを作成していない場合は、AD エージェントがログイン情報を収集する対象の AD サーバを識別するディレクトリ レルムを作成します。
          1. [Device] > [Directory Realm] を選択します。
          2. [I Want To] > [Add Realm] を選択します。
          3. [Add Realm] フォームで、レルムの名前を入力し、ディレクトリ タイプとして [Active Directory] を選択し、プライマリ ドメイン名と、ドメインに参加できるユーザ名およびパスワードを入力します。

            [Test Domain Join] リンクをクリックして、AD ドメインにデバイスが参加できることを確認します。 詳細については、ディレクトリ レルムの設定を参照してください

          4. [Save] をクリックしてディレクトリ レルムを作成し、レルムのリストに戻ります。 直接 ASA CX を(シングル デバイス モードで)設定していて、これが最初のレルムである場合、レルムのアイデンティティ ポリシーが自動的に作成されます。
          5. ディレクトリ レルムの上にマウスを置き、[Add New Directory] をクリックします。 プライマリ AD サーバの情報を入力し、[Save] をクリックします。

            プロセスを繰り返して、ドメインのすべての AD サーバを追加します。 必要な場合、プライオリティ順に並べ替えます。 ディレクトリ プロパティの詳細については、ディレクトリのプロパティを参照してください。

          ステップ 4   [Policies] > [Policies] を選択して、目的のサービスを提供するように、レルムのアイデンティティ ポリシーを作成または編集します。

          AD エージェントから取得したパッシブ マッピングを使用するには、AD レルムのアイデンティティ ポリシーで [Get Identity Using AD Agent] アクションを使用する必要があります。

          オプションで、アクティブ認証の質問で [Yes] を選択すると、ユーザの IP アドレスのパッシブ マッピングがない場合にアクティブ認証をイネーブルにできます。 目的の認証タイプも選択します。 詳細については、アイデンティティ ポリシーのプロパティを参照してください。





          ステップ 5   [Save Policy] をクリックします。

          アイデンティティ ポリシーは、最初に一致したものが適用されることに注意してください。ルールに source = any と destination = any が含まれていると、それ以降のすべてのルールが照合されません。 必要な場合、ポリシー セットの適切な場所にポリシーを移動します。

          ステップ 6   メニュー バーの [Changes Pending] リンクをクリックして、[Uncommitted Changes] ページを開きます。
          ステップ 7   [Commit] をクリックして、変更を設定データベースに保存します。

          AD/LDAP ユーザ グループに提供されるアクセス ポリシーの作成方法

          ユーザごとに異なるアクセス レベルを付与するポリシーを作成することがあります。 たとえば、特定の従業員だけがパートナー サイトにアクセスできる契約をパートナーと結ぶことがあります。 パートナーが、許可されるユーザのアカウントを作成してサーバでアクセスを制御することができない、またはこのような制御を望まない場合、ディレクトリ サーバ(Active Directory など)で定義されたグループ名を指定するユーザ ベースのアカウント ポリシーを使用して、ファイアウォールでアクセスをブロックできます。

          次の手順で、宛先へのアクセスを制御するアクセス ポリシーのペアを作成し、特定のユーザ グループのメンバだけを許可する方法を示します。 この手順では、次のことが前提になります。
          • ContractTeam というユーザ グループが、すでに Active Directory で作成されている。
          • Active Directory のディレクトリ レルムが PRSM で定義されている。
          • アクティブ認証を要求または許可するアイデンティティ ポリシーが設定されている。 オプションで、AD エージェントを使用してユーザ ID を取得できます。
          • パートナー サイトは Web サイトである。 パートナー サイトが Web サイトでない場合は、この例で示す URL オブジェクトの代わりに、ネットワーク グループ オブジェクトを使用して IP アドレスを指定します。
          手順
            ステップ 1   [Policies] > [Policies] を選択します。
            ステップ 2   パートナー サイトへのすべてのアクセスをブロックするポリシーを作成します。
            1. アクセス ポリシーのセットの上にマウスを置き、[Add New Policy] をクリックします。

              または、ポリシーを配置する位置のすぐ下にあるポリシーの上にマウスを置き、[Add Above] をクリックします。

            2. ポリシーの名前を入力します。
            3. [Policy Action: Deny] を選択します。
            4. トラフィックの送信元は [Any] のままにします。
            5. [Destination] フィールドの下にある [Create New Object] リンクをクリックして、パートナー サイトを識別する URL オブジェクトを作成します。

              ポリシー プロパティの右側に、[Create Object] フォームが開きます。

            6. オブジェクトの名前(Partner A Site など)を入力します。
            7. [Object Type] で [URL Object] を選択します。
            8. [Include] リストの [URL] フィールドで、パートナー サイトの DNS 名(contractAserver.example.com など)を [URL] フィールドに入力します。




            9. [Save Object] をクリックしてオブジェクトを保存し、[destination] フィールドに追加します。




            10. [Save Policy] をクリックします。

              ポリシーがポリシー セットに追加されます。 ポリシーが正しく並んでいない場合は、目的の位置に移動します。

            ステップ 3   特定のユーザ グループのメンバに対して、パートナー サイトへのアクセスを許可するポリシーを作成します。
            1. 作成した拒否ポリシーの上にマウスを置き、[Add Above] をクリックします。
            2. ポリシーの名前を入力します。
            3. [Policy Action: Allow] は、そのままにします。
            4. [Source] フィールドの下にある [Create New Object] リンクをクリックして、ユーザ グループを識別するアイデンティティ オブジェクトを作成します。
            5. オブジェクトの名前(Partner A Contract Team など)を入力します。
            6. [Object Type] で [Identity] を選択します。
            7. [Include] リストの [Groups] フィールドに、ユーザ グループ名を Realm_Name\group_name の形式で入力します(Our AD Realm\ContractTeam など)。 入力すると、ディレクトリで定義されている一致する名前がドロップダウン リストに表示されます。使用可能になったら、リストからグループを選択します。




            8. [Save Object] をクリックしてオブジェクトを保存し、[source] フィールドに追加します。
            9. [Destination] フィールドで、上で作成した URL オブジェクトを選択します。




            10. [Save Policy] をクリックします。

              ポリシーが、ポリシー セットで拒否ポリシーの上に追加されます。





            ステップ 4   変更を保存します。

            これで、グループのメンバになっているユーザだけが、パートナー サイトに接続できます。 グループ メンバだけがパートナー サイトにアクセスできるため、ユーザはネットワークで特定される必要があります。特定されない場合、拒否エントリになります。 そのため、グループのメンバがネットワークに接続し、アイデンティティ ポリシーで ID が必要とされない場合は、このポリシーに一致せず、パートナー サイトにアクセスできません。


            アクセプタブル ユース ポリシー(URL フィルタリング)の実装方法

            ネットワークにアクセプタブル ユース ポリシーを使用することがあります。 アクセプタブル ユース ポリシーは、組織で適切とされるネットワーク アクティビティと、不適切とされるアクティビティを区別します。 通常、これらのポリシーはインターネットの使用に注目し、生産性の維持、法的責任の回避(敵対的でない作業場所の維持など)、Web トラフィックの制御を目的としています。

            URL フィルタリングを使用して、アクセス ポリシーと共にアクセプタブル ユース ポリシーを定義できます。 広範なカテゴリ(ギャンブルなど)でフィルタリングできるため、ブロックする Web サイトを個別に識別する必要はありません。 Cisco の URL データベースでは、世界中にある 60 を超える言語の 2000 万を超える Web サイトが分類されており、5 分ごとに自動的に更新されます。

            次の手順で、URL フィルタリングを使用してアクセプタブル ユース ポリシーを実装する方法を説明します。 この例の目的として、ギャンブル、ゲーム、ポルノのカテゴリと、未分類サイトの badsite.example.com をブロックします。

            カテゴリ ベースの URL フィルタリングを使用するには、Web Security Essentials のライセンスが必要です。

            手順
              ステップ 1   [Policies] > [Policies] を選択します。
              ステップ 2   アクセス ポリシーのセットの上にマウスを置き、[Add New Policy] をクリックします。

              または、ポリシーを配置する位置のすぐ下にあるポリシーの上にマウスを置き、[Add Above] をクリックします。

              ステップ 3   ポリシーの名前(Block Bad Sites など)を入力します。
              ステップ 4   [Policy Action: Deny] を選択します。
              ステップ 5   トラフィックの送信元は [Any] のままにします。
              ステップ 6   ユーザのアクセスが許可されない宛先を定義する URL オブジェクトを作成します。
              1. [Destination] フィールドの下にある [Create New Object] リンクをクリックして、好ましくないカテゴリとサイトを識別する URL オブジェクトを作成します。

                ポリシー プロパティの右側に、[Create Object] フォームが開きます。

              2. オブジェクトの名前(Bad Sites など)を入力します。
              3. [Object Type] で [URL Object] を選択します。
              4. [Include: URL] フィールドに、望ましくないサイトの DNS 名を入力します(この例では、badsite.example.com)。
              5. [Include: Web Category] フィールドで [Gambling] を選択します。
              6. [Include: Web Category] フィールドで [Games] を選択します。
              7. [Include: Web Category] フィールドで [Pornography] を選択します。




              8. [Save Object] をクリックしてオブジェクトを保存し、[destination] フィールドに追加します。




              ステップ 7   [Save Policy] をクリックします。
              ポリシーがポリシー セットに追加されます。 ポリシーが正しく並んでいない場合は、目的の位置に移動します。




              ステップ 8   変更を保存します。

              以後、他のサイトを Bad Sites リストに追加する場合は、サイトまたはカテゴリを URL オブジェクトに追加するだけです。新しいポリシーを作成する必要はありません。


              Web レピュテーションを使用してマルウェアをブロックする方法

              ユーザは常に、インターネット サイトからマルウェアを取得するリスクにさらされています。 信頼されるサイトでも、ハイジャックされて、無警戒なユーザにマルウェアを配布することがあります。 下に示すように、Web ページには、別の送信元からのオブジェクトを含めることができます。 このオブジェクトには、イメージ、実行可能ファイル、Javascript、広告などがあります。 改ざんされた Web サイトには、しばしば、外部の送信元でホストされているオブジェクトが組み込まれます。 真のセキュリティとは、最初の要求だけではなく、各オブジェクトを個別に調べることです。





              Cisco Threat Operations Center は、動的な更新と、ASA、IPS、電子メール セキュリティ アプライアンス、Web セキュリティ アプライアンス、およびシステム管理者から取得したアクション可能な知識を使用して、Web サイトの Web レピュテーション スコアを計算します。 Web レピュテーションは、コンテキストおよび過去の動作に基づいた統計的な評価で、重要度が異なる多くの要素を組み合わせて 1 つの関連付けられたメトリックにするものです。 個人の信用スコアと同様に、Web レピュテーションは、-10 ~ 10 の段階的なスケールに沿った連続値です。 低レピュテーション ゾーンを定義することで、ユーザにマルウェアを提供する可能性が高い、低レピュテーション サイトに対して予防的なゼロデイ保護を実装できます。

              以下は、Web レピュテーション スコアの一般的なガイドラインです。
              • -10 ~ -6:レピュテーションが最も低いゾーンのサイトは、継続的にキー ロガー、ルートキット、およびその他のマルウェアを配布する専用サイト、またはハイジャックされたサイトです。 フィッシング サイト、ボット、ドライブバイ インストーラも含まれます。 このレピュテーション範囲のサイトは、ほぼ確実に悪意のあるサイトです。 事前定義されている Web レピュテーション プロファイルの Default Reputation Profile で、このゾーンは低レピュテーション ゾーンとして定義されています。
              • -6 ~ -3:このゾーンのサイトは、攻撃的な広告シンジケートおよびユーザ トラッキング ネットワークの可能性があります。 これらのサイトは、悪意がある疑いがありますが、確実ではありません。
              • -3 ~ 3:このゾーンのサイトは、管理された信頼できるコンテンツ シンジケート ネットワークおよびユーザが生成したコンテンツ サイトの可能性があります。
              • 0 ~ 5:このゾーンのサイトは、信頼できる動作の歴史がある、または第三者の検証を受けたサイトです。
              • 5 ~ 10:このゾーンのサイトは、信頼できる動作の長い歴史があり、トラフィック量が多く、広くアクセスされているサイトです。
              レピュテーション ベースの処理を実装するには、次のタイプのポリシーに Web レピュテーション プロファイルを適用します。
              • トラフィックを許可するアクセス ポリシー。 Web レピュテーション プロファイルを追加することで、一致するトラフィックは全般的に許可され、低レピュテーション サイトからのトラフィックはすべてドロップされます。 [Allow] アクションがあるアクセス ポリシーの一部またはすべてにプロファイルを適用できます。
              • アクションが [Decrypt Potentially Malicious Traffic] の復号化ポリシー。 Web レピュテーション プロファイルを追加することで、ポリシーと一致する低レピュテーション サイトが復号化され、アクセス ポリシーによってトラフィックの内容が認識されます。 その後、設定に従って、アクセス ポリシーでトラフィックをドロップできます。 トラフィックをドロップする、一致するアクセス ポリシーがなくても、低レピュテーション トラフィックを復号化することで、暗号化された TLS/SSL トラフィック フローでは利用できなかったデータがレポートに提供されます。

              次の手順では、-10 ~ -6 ゾーンのサイトのトラフィック フローをドロップまたは復号化するレピュテーション ベースの処理を実装する方法を示します。 この例では、アクセス ポリシーが定義されていて、復号化がイネーブルとなり、[Do Not Decrypt] アクションを使用する復号化ポリシーがいくつかある(または、復号化するトラフィックの量を減らしたいと考えている)ことを前提とします。

              手順
                ステップ 1   [Policies] > [Policies] を選択します。
                ステップ 2   目的のアクセス ポリシーに、Web レピュテーション プロファイルを追加します。
                1. 修正する「Allow」アクセス ポリシーの上にマウスを置いて、[Edit Policy] をクリックします。
                2. [Profile] セクションの [Web Reputation Action Profile] フィールドで、[Default Reputation Profile] を選択します。




                  別の範囲でレピュテーションが低い範囲を定義するには、[Create New Profile] リンクをクリックして、独自の Web レピュテーション プロファイルを作成します。 オブジェクトに名前を付け、レピュテーションが低い範囲の上にあるスライダを移動させて、[Save Object] をクリックします。

                3. [Save Policy] をクリックします。




                  修正するすべてのアクセス ポリシーに対して、この処理を繰り返します。

                ステップ 3   目的の復号化ポリシーに、Web レピュテーション プロファイルを追加します。

                プロファイルの指定が必要な、[Decrypt Potentially Malicious Traffic] アクションを使用している場合にだけ、Web レピュテーション プロファイルを設定できます。 そのため、プロファイルを追加するにはアクションも変更する必要があり、新しいポリシーを作成する必要があります。 [Do Not Decrypt] アクションを使用するポリシーにプロファイルを追加するか、すべてを復号化する必要をなくすために [Decrypt Everything] ポリシーに追加するかを検討してください。

                1. 修正する復号化ポリシーの上にマウスを置いて、[Edit Policy] をクリックします。
                2. [Action] セクションで、アクションを [Decrypt Potentially Malicious Traffic] に変更します。
                3. [Web Reputation Action Profile] フィールドで、[Default Reputation Profile] または別のプロファイルを選択します。




                4. [Save Policy] をクリックします。




                  修正するすべての復号化ポリシーに対して、この処理を繰り返します。 ポリシーを追加する必要がある場合は、復号化ポリシーのセットの上にマウスを置いて、[Add New Policy] を選択し、送信元、宛先、アクション オプション、プロファイル オプションを指定します。

                ステップ 4   変更を保存します。