Cisco PIX Firewall/VPN コンフィギュレーション ガイド
PIX Firewall のアクセスと監視
PIX Firewall のアクセスと監視
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

PIX Firewall のアクセスと監視

VPN トンネル経由による PIX Firewall への接続

コマンド認証と LOCAL ユーザ認証

特権レベル

ユーザ認証

LOCAL データベースでのユーザ アカウントの作成

LOCAL データベースを使用したユーザ認証

現在のユーザ アカウントの表示

コマンド認証

概要

LOCAL コマンド認証の設定

LOCAL コマンド認証のイネーブル化

LOCAL コマンド認証設定の表示

TACACS+ コマンド認証

ロックアウトからの回復

PIXFirewall バナーの設定

ネットワーク タイム プロトコルの使用方法

概要

NTP のイネーブル化

NTP のステータスとコンフィギュレーションの表示

PIX Firewall クロックの管理

システム時間の表示

システム クロックの設定

夏時間と時間帯の設定

Telnet を使用したリモート システム管理

内部インターフェイスへの Telnet コンソール アクセスの設定

外部インターフェイスへの Telnet 接続の許可

概要

Easy VPN リモート デバイスによる Telnet の使用方法

Cisco Secure VPN Client Version 1.1 の使用方法

Telnet の使用方法

トレース チャネル機能

SSH を使用したリモート システム管理

概要

SSH クライアントの取得

SSH クライアントを使用したホストの指定

SSH クライアントに対する認証設定

SSH クライアントによる PIX Firewall への接続

SSH ステータスの表示

Auto Update サポートのイネーブル化

概要

Auto Update Server の指定

Auto Update Support の管理

Auto Update Configuration の表示

パケットの取得

概要

設定手順

パケット取得の出力フォーマット

パケット取得の例

フラッシュ メモリへのクラッシュ情報の保存

syslog の使用方法

syslog サーバに対するロギングのイネーブル化

syslog メッセージ レベルの変更

syslog メッセージのディセーブル化

修正されたメッセージ レベルの表示

アクセス コントロール リスト アクティビティのロギング

概要

コンフィギュレーション

ロギング動作

syslog メッセージのフォーマット

IDS syslog メッセージの管理

SNMP の使用方法

概要

MIB サポート

SNMP の CPU 使用率

SNMP の使用上の注意

SNMP トラップ

要求の受信と syslog トラップの送信

Cisco syslog MIB ファイルのコンパイル

Firewall と Memory Pool MIB の使用方法

ipAddrTable に関する注意

フェールオーバー ステータスの表示

メモリ使用率の確認

接続数の表示

システム バッファの使用率の表示

PIX Firewall のアクセスと監視

この章では、PIX Firewall が提供するツールと機能について、システムの監視と設定、およびネットワーキング作業の監視を行うための設定と使用方法を説明します。次の項目について説明します。

「VPN トンネル経由による PIX Firewall への接続」

「コマンド認証と LOCAL ユーザ認証」

「PIX Firewall バナーの設定」

「ネットワーク タイム プロトコルの使用方法」

「PIX Firewall クロックの管理」

「Telnet を使用したリモート システム管理」

「SSH を使用したリモート システム管理」

「Auto Update サポートのイネーブル化」

「パケットの取得」

「フラッシュ メモリへのクラッシュ情報の保存」

「syslog の使用方法」

「SNMP の使用方法」

VPN トンネル経由による PIX Firewall への接続

PIX Firewall Version 6.3 では、PIX Firewall のインターフェイスに対して VPN トンネルを使用したリモート管理接続が可能です。 この機能は、Easy VPN リモート デバイスとして使用する PIX Firewall をリモート管理する場合に役立ちます。Easy VPN リモート デバイスは通常、外部インターフェイスへダイナミックに割り当てられた未知の IP アドレスを保有します。

現在サポートされているネットワーク管理アプリケーションを次に示します。

AAA

ネットワーク タイム プロトコル(NTP)

ping

PIX Device Manager (PDM)

Telnet

Secure shell (SSH)

SNMP

SNMP トラップ

Syslog

VPN トンネルを介した管理アクセスをイネーブルにするには、次のコマンドを入力します。

management-access mgmt_if
 

mgmt_if には、接続するリモート PIX Firewall のインターフェイスに割り当てられた IP アドレスを指定します。


) 管理アクセスは、サポートされている、使用する管理サービスに接続されているインターフェイスごとに、イネーブルにする必要があります。


コマンド認証と LOCAL ユーザ認証

ここでは、PIX Firewall Version 6.2 で導入されたコマンド認証機能と関連する項目について説明します。次の項目について説明します。

「特権レベル」

「ユーザ認証」

「コマンド認証」

「ロックアウトからの回復」

特権レベル

PIX Firewall Version 6.2 以降では最大 16 の特権レベルをサポートします。これは、Cisco IOS ソフトウェアで提供されている機能と同様です。この機能を使用すると、PIX Firewall コマンドを 16 レベルのうちのいずれかに割り当てることができます。さらに、PIX Firewall にログインするユーザにも特権レベルが割り当てられます。


) 特権レベルが 2 以上のユーザは、イネーブル モードと設定モードを使用でき、PIX Firewall プロンプトが # に変わります。特権レベル 0 または 1 のユーザには、プロンプト > が表示されます。


PIX Firewall 上で異なる特権レベルをイネーブルにするには、設定モードで enable コマンドを使用します。特権レベルにパスワードを指定するには、次のコマンドを入力します。

pix(config)# enable password [password] [level level] [encrypted]

 

password に、3 文字~16 文字の文字列を指定します。空白は使用しません。 level には、イネーブル パスワードに割り当てる特権レベルを指定します。


encrypted キーワードは、enable コマンドで設定されたパスワードがすでに暗号化されていることを PIX Firewall に対して示します。


たとえば、次のコマンドは、イネーブル パスワード Passw0rD に特権レベル 10 を割り当てます。

enable password Passw0rD level 10
 

次の例では、 enable password コマンドと encrypted キーワードを使用しています。

enable password .SUTWWLlTIApDYYx level 9 encrypted
 

) レベルが関連付けられた暗号化パスワードは、PIX Firewall 装置の間でだけ、関連付けられたレベルとともに移動させることができます。


異なる特権レベルを作成すると、次に示すように > プロンプトから enable コマンドを入力することで、特権レベルにアクセスできます。

pix> enable [privilege level]
 

privilege level は、アクセスする特権レベルです。特権レベルを指定しない場合、デフォルトとして 15 が設定されます。デフォルトの設定では、特権レベル 15 にはパスワード cisco が割り当てられます。特権レベルには、いずれかのユーザがenable password コマンドを使用して空白のパスワードを割り当てない限り、常に関連付けられたパスワードがあります。

ユーザ認証

ここでは、PIX Firewall を設定して LOCAL ユーザ認証を使用する手順を説明します。次の項目について説明します。

「LOCAL データベースでのユーザ アカウントの作成」

「LOCAL データベースを使用したユーザ認証」

「現在のユーザ アカウントの表示」


) PIX Firewall Version 6.2 では、PIX Firewall への管理アクセスに LOCAL データベースを使用した認証だけをサポートしています。 PIX Firewall Version 6.3 以降を使用している場合は、PIX Firewall を介した認証にも LOCAL データベースを使用できます。詳細については、「ネットワーク アクセスとネットワーク使用の制御」の「 AAA の設定」を参照してください。


LOCAL データベースでのユーザ アカウントの作成

LOCAL データベースでユーザ アカウントを定義するには、次のコマンドを入力します。

username username {nopassword|password password [encrypted]} [privilege level]
 

username には 4 ~ 15 文字の文字列を、 password には 3 ~ 16 文字以内の文字列を指定します。 さらに privilege level には新しいユーザ アカウントに割り当てる特権レベルを指定します(0 ~ 15)。パスワードなしでユーザ アカウントを作成する場合は、 nopassword キーワードを使用します。設定するパスワードがすでに暗号化されている場合は、 encrypted キーワードを使用します。


) ユーザが設定した username データベースは、残りのコンフィギュレーションとともに PIX Firewall 装置の間で移動させることができます。暗号化されたパスワードが移動できるのは、データベース内で関連付けられたユーザ名と同一の場合だけです。


たとえば、次のコマンドは、ユーザ アカウント admin に対して特権レベル 15 を割り当てます。

username admin password passw0rd privilege 15
 

特権レベルを指定しない場合、ユーザ アカウントは特権レベル 2 で作成されます。 特権レベルは必要な数だけ定義できます。

パスワードを指定しないユーザ アカウントを作成するには、次のコマンドを使用します。

username username nopassword
 

username には、パスワードを指定せずに作成するユーザ アカウントを指定します。

既存のユーザ アカウントを削除するには、次のコマンドを入力します。

no username username
 

username には、削除するユーザ アカウントを指定します。たとえば、次のコマンドは、ユーザ アカウント admin を削除します。

no username admin
 

ユーザ データベースからすべてのエントリを削除するには、次のコマンドを入力します。

clear username
 

LOCAL データベースを使用したユーザ認証

ユーザ認証は、ユーザ アカウントが作成された後の LOCAL データベースを使用することで完了できます。

LOCAL データベースを使用した認証をイネーブルにするには、次のコマンドを入力します。

pix(config)# aaa authentication serial|telnet|ssh|http|enable console LOCAL
 

このコマンドを入力すると、LOCAL ユーザ アカウントが認証に使用されます。

さらに、次のように login コマンドを使用した場合も、特定のユーザ名とパスワードで PIX Firewall にアクセスできます。

pix> login
 

login コマンドは、認証中にローカル データベースだけを確認します。AAA サーバの確認は行いません。

login と入力すると、ユーザ名とパスワードの入力を求めるプロンプトが次のように表示されます。

Username:admin
Password:********
 

) 特権レベルが 2 以上のユーザは、イネーブルモードと設定モードが使用できるようになり、
PIX Firewall プロンプトが # に変更されます。特権レベル 0 または 1 のユーザには、プロンプト > が表示されます。


現在ログインしているユーザ アカウントからログアウトするには、次のコマンドを使用します。

logout

現在のユーザ アカウントの表示

PIX Firewall では、次の認証メカニズムでユーザ名が保持されます。

LOCAL

TACACS+

RADIUS

現在ログインしているユーザ アカウントを表示するには、次のコマンドを入力します。

show curpriv
 

現在のユーザ名と特権レベルが次のように表示されます。

Username:admin
Current privilege level: 15
Current Mode/s:P_PRIV
 

特権レベル」で説明したように、異なる特権レベルに対するアクセスを取得するには、次のように enable コマンドを使用します。

pix> enable [ privilege level ]

特権レベルにパスワードを割り当てるときは、ユーザ名にパスワードに関連付ける場合と同様に、特権レベルに LOCAL データベースのパスワードが関連付けられます。enable コマンドを使用して特権レベルへアクセス可能になった状態で、show curpriv コマンドを使用すると、enable_n という形式で現在の特権レベルがユーザ名として表示されます。n は特権レベル(1 ~ 15)です。

次に例を示します。

pix(config)# show curpriv
Username : enable_9
Current privilege level : 9
Current Mode/s : P_PRIV
 

特権レベルを指定しないで enable コマンドを入力すると、デフォルトの特権レベル(15)が指定されたとみなされ、ユーザ名は enable_15 に設定されます。

初回の PIX Firewall ログイン時、または現在のセッション終了時のデフォルトのユーザ名は、次のように enable_1 になります。

pix> show curpriv
Username : enable_1
Current privilege level : 1
Current Mode/s : P_UNPR
 

コマンド認証

ここでは、異なる特権レベルにコマンドを割り当てる方法について説明します。次の項目について説明します。

「概要」

「LOCAL コマンド認証の設定」

「LOCAL コマンド認証のイネーブル化」

「LOCAL コマンド認証設定の表示」

「TACACS+ コマンド認証」

概要

PIX Firewall Version 6.2 以降では、LOCAL および TACACS+ コマンド認証がサポートされています。LOCAL コマンド認証機能を使用すると、PIX Firewall コマンドを 16 のレベルのいずれかに割り当てることができます。


注意 コマンド認証機能を設定するときは、目的どおりに動作することを確認するまで、設定を保存しないでください。誤ってロックアウトした場合、通常では、フラッシュ メモリに保存されているコンフィギュレーションから PIX Firewall を再起動するだけで、アクセスを回復できます。それでも解決しない場合は、「ロックアウトからの回復」を参照してください。

LOCAL コマンド認証の設定

デフォルトの設定では、各 PIX Firewall コマンドは特権レベル 0、または特権レベル 15 に割り当てられています。 特定のコマンドを別の特権レベルに割り当て直す場合は、次のコマンドを入力します。

[no] privilege [{show | clear | configure}] level level [mode {enable|configure}] command command
 

level に特権レベルを、 command に特定のレベルに割り当てたいコマンドを指定します。 オプションとして、 show clear 、または configure パラメータを使用すると、指定したコマンドの show clear 、または configure コマンド修飾子に対して特権レベルを設定できます。 command には特権を割り当てるためのコマンドを指定します。このコマンドの完全な構文と追加オプションについては、『 PIX Firewall Command Reference 』を参照してください。

たとえば、次の例では、 access-list コマンドの異なるコマンド修飾子に対する特権を設定できます。

privilege show level 10 command access-list
privilege configure level 12 command access-list
privilege clear level 11 command access-list
 

最初の行では、 show access-list cmd access-list show 修飾子)の特権を 10 に設定しています。2 行目では、 configure 修飾子の特権レベルを 12 に設定し、最後の行では、 clear 修飾子の特権レベルを 11 に設定しています。

access-list コマンドのすべての修飾子に対する特権レベルを 10 に設定するには、次のコマンドを入力します。

privilege level 10 command access-list
 

複数のモードで使用可能なコマンドの場合は、 mode パラメータを使用して特権レベルを適用するモードを指定してください。

次は、モード固有のコマンドに対して特権レベルを設定する例です。

privilege show level 15 mode configure command configure
privilege clear level 15 mode configure command configure
privilege configure level 15 mode configure command configure
privilege configure level 15 mode enable command configure
 
privilege configure level 0 mode enable command enable
privilege show level 15 mode configure command enable
privilege configure level 15 mode configure command enable
 
privilege configure level 15 mode configure command igmp
privilege show level 15 mode configure command igmp
privilege clear level 15 mode configure command igmp
 
privilege show level 15 mode configure command logging
privilege clear level 15 mode configure command logging
privilege configure level 15 mode configure command logging
privilege clear level 15 mode enable command logging
privilege configure level 15 mode enable command logging
 

mode パラメータは、モード固有でないコマンドに対して使用しないでください。


デフォルトでは、次のコマンドは特権レベル 0 に割り当てられます。

privilege show level 0 command checksum
privilege show level 0 command curpriv
privilege configure level 0 command help
privilege show level 0 command history
privilege configure level 0 command login
privilege configure level 0 command logout
privilege show level 0 command pager
privilege clear level 0 command pager
privilege configure level 0 command pager
privilege configure level 0 command quit
privilege show level 0 command version
 

LOCAL コマンド認証のイネーブル化

必要に応じて、コマンドに対してデフォルト以外の特権レベルを割り当て直したら、次のコマンドを入力してコマンド認証機能をイネーブルにします。

aaa authorization command LOCAL
 

LOCAL を指定することで、ユーザの特権レベルと異なるコマンドに割り当てられた特権設定で、認証決定が行われます。

PIX Firewall にログインすると、入力できるコマンドは、そのユーザの特権レベルに割り当てられているコマンドか、それより低い特権レベルに割り当てられているコマンドになります。たとえば、特権レベル 15 は最高の特権レベルであるため、このレベルのユーザ アカウントは、すべてのコマンドにアクセスできます。また、特権レベル 0 のユーザ アカウントがアクセスできるコマンドは、特権レベル 0 に割り当てられたコマンドだけです。

LOCAL コマンド認証設定の表示

各特権レベルに対する CLI コマンドの割り当てを表示するには、次のコマンドを入力します。

show privilege all
 

各 CLI コマンドの現在の特権レベルの割り当てが表示されます。次の例は、最初に表示される部分を示しています。

pix(config)# show privilege all
privilege show level 15 command aaa
privilege clear level 15 command aaa
privilege configure level 15 command aaa
privilege show level 15 command aaa-server
privilege clear level 15 command aaa-server
privilege configure level 15 command aaa-server
privilege show level 15 command access-group
privilege clear level 15 command access-group
privilege configure level 15 command access-group
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list
privilege show level 15 command activation-key
privilege configure level 15 command activation-key
 

特定の特権レベルに対するコマンドの割り当てを表示するには、次のコマンドを入力します。

show privilege level level
 

level には、コマンドの割り当てを表示する特権レベルを指定します。

たとえば、次のコマンドを使用すると、特権レベル 15 のコマンド割り当てを表示します。

show privilege level 15
 

特定のコマンドに対する特権レベルの割り当てを表示するには、次のコマンドを入力します。

show privilege command command
 

command には、割り当てられている特権レベルを表示したいコマンドを指定します。

たとえば、次のコマンドを使用すると access-list コマンドのコマンド割り当てが表示されます。

show privilege command access-list
 

TACACS+ コマンド認証


注意 TACACS+ によるコマンド認証機能をイネーブルにできるのは、次の要件を満たす場合に限られます。

1. enable_1 と enable_15、およびコマンドを割り当てたその他の特権レベルに対してエントリを作成済み。

2. ユーザ名を使用して認証をイネーブルにする場合、次の要件があります。

TACACS+ サーバ上に、ユーザが実行を許可されているすべてのコマンドが設定されているユーザ プロファイルがある。

TACACS+ サーバを使用した認証テストが成功している。

3. 必要な特権を持つユーザとしてログインしている。これを確認するには、 show curpriv コマンドを入力します。

4. 使用している TACACS+ システムが完全に安定していて、高い信頼性がある。通常、必要なレベルの信頼性を得るには、完全冗長の TACACS+ サーバ システムと、PIX Firewall に対する完全な冗長接続が確立されていることが必要です。


注意 コマンド認証機能を設定するときは、設定どおりに動作することを確認するまで、コマンド認証機能の設定を保存しないでください。誤ってロックアウトした場合、通常では、フラッシュ メモリに保存されているコンフィギュレーションから PIX Firewall を再起動するだけで、アクセスを回復できます。それでも解決しない場合は、「ロックアウトからの回復」を参照してください。

TACACS+ サーバを使用したコマンド認証をイネーブルにすると、PIX Firewall は、入力されたコマンドことに、認証のためのユーザ名、コマンド、およびコマンド引数を TACACS+ サーバに送信します。

TACACS+ サーバを使用したコマンド認証をイネーブルにするには、次のコマンドを入力します。

aaa authorization command tacacs_server_tag
 

tacacs_server_tag を作成するには、次に示すように aaa-server コマンドを使用します。

aaa-server tacacs_server_tag [(if_name)] host ip_address [key] [timeout seconds]
 

tacacs_server_tag パラメータを使用して、TACACS+ サーバを識別します。特に、TACACS+ サーバに接続された PIX Firewall インターフェイスを識別する必要がある場合は、 if_name パラメータを使用します。 ip_address には、TACACS+ サーバの IP アドレスを指定します。オプションの key パラメータには、TACACS+ サーバを使用して交換されるデータの暗号化に使用する最大 127 文字のキーワード(特殊文字を含むがスペースを除く)を指定します。この値は、TACACS+ サーバ上で使用されるキーワードと一致する必要があります。 seconds には、30 までの数字を指定します。この数字で、PIX Firewall が TACACS+ サーバへの接続を試みるまでに待機する時間が決まります。デフォルトの設定値は 5 秒です。

コマンドとコマンド修飾子( show clear no )を TACACS+ サーバに送信するときに、PIX Firewall はこれらの展開のみを行います。コマンド引数は、展開 されません

効果的な操作を行うには、AAA サーバ上で次の基本コマンドを許可してください。

show curpriv

show version

show aaa

enable

disable

quit

exit

login

logout

help

Cisco PIX Device Manager (PDM)が TACACS+ サーバを使用して、コマンド認証と連動するようにするには、AAA サーバ管理者がユーザに次のコマンドの使用を許可する必要があります。

write terminal または show running-config

show pdm

show version

show curpriv

ロックアウトからの回復

コマンド認証の設定中に誤ってロックアウトした場合、通常はフラッシュ メモリに保存されているコンフィギュレーションから PIX Firewall を再起動するだけで、アクセスを回復できます。

すでにコンフィギュレーションを保存済みで、LOCAL データベースを使用して認証を設定している場合に、ユーザ名を設定しないとロックアウト問題が発生します。このほかにも、TACACS+ サーバを使用してコマンド認証を設定したときに、TACACS+ が利用できないか、ダウンしている状態、または設定が誤っている場合にロックアウト問題が発生する可能性があります。

PIX Firewall を再起動しても PIX Firewall へのアクセスが回復しない場合は、Web ブラウザを使用して次の Web サイトにアクセスしてください。

http://www.cisco.com/warp/customer/110/34.shtml

この Web サイトでは、ダウンロード可能なファイルと使用説明書が提供されています。このファイルは、認証をイネーブルにすることでロックアウト問題が発生する行を PIX Firewall のコンフィギュレーションから削除するために使用します。

また、 aaa authorization command tacacs_server_tag コマンドを使用したときに、正しいユーザとしてログインしていない場合に、別の種類のロックアウト問題が発生することがあります。コマンドを入力するたびに、PIX Firewall によって次のようなメッセージが表示されます。

Command Authorization failed
 

これは、ログインに使用したユーザ アカウントのユーザ プロファイルが、TACACS+ サーバに設定されていないために起こります。 この問題を回避するには、TACACS+ サーバに、すべてのユーザとその実行可能なコマンドが設定されていることを確認してください。また、TACACS+ サーバ上に必要なプロファイルを持つユーザとしてログインしていることを確認してください。

PIX Firewall バナーの設定

PIX Firewall Version 6.3 では、Message-of-the-Day、EXEC、およびログイン バナーがサポートされました。これは Cisco IOS ソフトウェアにある同じ機能に似ています。 バナー サイズは、使用可能なシステム メモリまたはフラッシュ メモリによる制限だけを受けます。

バナーを設定するには、次のコマンドを入力します。

banner {exec|login|motd} text
 

text には、システムによって表示される文字列を指定します。 スペースは許可されますが、タブは CLI を使用して入力できません。 この文字列の中に文字列 $(hostname) および $(domain) を入れることにより、PIX Firewall のホスト名またはドメイン名をダイナミックに追加できます。

イネーブル プロンプトが表示される前にバナーを表示するには、exec オプションを使用します。 Telnet を使用して PIX Firewall にアクセスした場合に、パスワード ログイン プロンプトより先にバナーを表示するには、login オプションを使用します。 今日のメッセージ バナーを表示するには、motd オプションを使用します。

複数行を含むバナーを設定するには、バナーの行ごとに banner コマンドを 1 回入力します。

現在のバナーを表示するには、次のコマンドを入力します。

show banner {exec|login|motd}
 

特定のバナーを削除するには、次のコマンドを入力します。

no banner {exec|login|motd}
 

すべてのバナーをクリアするには、次のコマンドを入力します。

clear banner
 

ネットワーク タイム プロトコルの使用方法

ここでは、PIX Firewall Version 6.2 で導入された NTP クライアントの使用方法を説明します。次の項目について説明します。

「概要」

「NTP のイネーブル化」

「NTP のステータスとコンフィギュレーションの表示」

概要

ネットワーク タイム プロトコル(NTP)は、階層構造のサーバ システムを実装するために使用され、ネットワーク システム間における正確な同期時刻の発信元を提供します。正確な同期時刻は、正確なタイム スタンプが必要な証明書取り消しリスト(CRL)の検証など、時間の正確さが要求される操作に必要です。

PIX Firewall Version 6.2 以降では、NTP クライアントが提供されたため、PIX Firewall で NTP Version 3 サーバからシステム時間を取得できるようになりました。この機能は、Cisco IOS ルータで提供されている機能と同様です。

NTP のイネーブル化

PIX Firewall の NTP クライアントをイネーブルにするには、次のコマンドを入力します。

[no] ntp server ip_address [key number] source if_name [prefer]
 

このコマンドを使用すると、PIX Firewall は ip_address で指定されたタイム サーバと同期を取ります。 key オプションには、このタイム サーバにパケットを送信する際の認証キーが必要です。このオプションで、 number に認証キーを指定します。if_name で指定されたインターフェイスは、タイム サーバにパケットを送信するために使用されます。source キーワードが指定されていない場合は、インターフェイスの判別にルーティング テーブルが使用されます。prefer オプションは、同期を取る際に、指定されたサーバを優先サーバにします。これを行うことにより、サーバ間の切り換え回数を減らします。

NTP メッセージの認証をイネーブルにするには、次のコマンドを入力します。

[no] ntp authenticate
[no] ntp authentication-key number md5 value
[no] ntp trusted-key number
 

ntp authenticate コマンドを使用すると、NTP 認証がイネーブルになります。このコマンドを入力する場合、ntp trusted-key コマンドで指定したいずれかの認証キーを使用して NTP サーバを設定しない限り、PIX Firewall は NTP サーバと同期しません。

ntp authentication-key コマンドは、ほかの NTP コマンドを使用してより高度なセキュリティ レベルを設定する認証キーを定義するために使用されます。number パラメータは、キー番号(1 ~ 4294967295)です。value パラメータはキー値です(32 文字以内の任意の文字列)。write terminal、 show configuration 、またはshow tech-support コマンドを使用してコンフィギュレーションを表示すると、キー値は「********」に置き換えられます。

ntp authentication-key コマンドで定義されたキーに対応する 1 つ以上のキー番号を定義するには、ntp trusted-key コマンドを使用します。PIX Firewall は、NTP サーバに対して、このキー番号を NTP パケットに含めることを要求します。これによって、PIX Firewall のシステム クロックが、信頼されていない NTP サーバと同期することを防ぎます。

NTP のコンフィギュレーションを削除するには、次のコマンドを入力します。

clear ntp
 

このコマンドは、NTP のコンフィギュレーションを削除し、認証を無効にしてから、すべての認証キーを削除します。

NTP のステータスとコンフィギュレーションの表示

ここでは、NTP ステータスとその関連事項について利用可能な情報を説明します。NTP ステータスとコンフィギュレーションを表示するには、次のいずれかのコマンドを使用します。

show ntp associations :設定されたタイムサーバに関する情報を表示します。

show ntp associationsdetail :詳細情報を表示します。

show ntp status :NTP クロックに関する情報を表示します。

以下の例は、各コマンドの出力例です。また、以下の表では、出力される各カラムの値の意味を定義します。

例9-1は、 show ntp associations コマンドの出力例です。

例9-1 show ntp association コマンドの出力例

PIX> show ntp associations
address ref clock st when poll reach delay offset disp
~172.31.32.2 172.31.32.1 5 29 1024 377 4.2 -8.59 1.6
+~192.168.13.33 192.168.1.111 3 69 128 377 4.1 3.48 2.3
*~192.168.13.57 192.168.1.111 3 32 128 377 7.9 11.18 3.6
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
 

表示される行の先頭文字は、次のいずれかの 1 文字または複数の文字になります。

*:このピアに同期する

#:このピアに対してほぼ同期する

+:可能性のある同期に対してピアが選択されている

-:ピアが選択候補になっている

~:ピアがスタティックに設定されている

表 9-1 に、各カラムの値の意味を説明します。

 

表 9-1 ntp association コマンドの出力結果の説明

出力カラムの見出し
説明

address

ピアのアドレス。

ref clock

ピアのリファレンス クロックのアドレス。

st

ピアの層。

when

ピアからの最終 NTP パケットが受信されてからの時間。

poll

ポーリング間隔(秒)。

reach

ピアの到達可能性(8 進のビット文字列)。

delay

ピアまでのラウンド トリップ遅延(ミリ秒)。

offset

ローカル クロックに対するピア クロックの相対時間(ミリ秒)。

disp

分散。

例9-2は、 show ntp association detail コマンドの出力例です。

例9-2 ntp association detail コマンドの出力例

pix(config)# show ntp associations detail
172.23.56.249 configured, our_master, sane, valid, stratum 4
ref ID 172.23.56.225, time c0212639.2ecfc9e0 (20:19:05.182 UTC Fri Feb 22
2002)
our mode client, peer mode server, our poll intvl 128, peer poll intvl 128
root delay 38.04 msec, root disp 9.55, reach 177, sync dist 156.021
delay 4.47 msec, offset -0.2403 msec, dispersion 125.21
precision 2**19, version 3
org time c02128a9.731f127b (20:29:29.449 UTC Fri Feb 22 2002)
rcv time c02128a9.73c1954b (20:29:29.452 UTC Fri Feb 22 2002)
xmt time c02128a9.6b3f729e (20:29:29.418 UTC Fri Feb 22 2002)
filtdelay = 4.47 4.58 4.97 5.63 4.79 5.52 5.87
0.00
filtoffset = -0.24 -0.36 -0.37 0.30 -0.17 0.57 -0.74
0.00
filterror = 0.02 0.99 1.71 2.69 3.66 4.64 5.62
16000.0
 

表 9-2 に、各カラムの値の意味を説明します。

 

表 9-2 ntp association detail コマンドの出力結果の説明

出力カラムの見出し
説明

configured

ピアはスタティックに設定されました。

dynamic

ピアはダイナミックに検出されました。

our_master

ローカル マシンがこのピアに対して同期しています。

selected

ピアが可能性のある同期に対して選択されています。

candidate

ピアが選択候補です。

sane

ピアが基本健全性チェックをパスしました。

insane

ピアが基本健全性チェックで失敗しました。

valid

ピア時間は有効であるとみなされています。

invalid

ピア時間は無効であるとみなされています。

leap_add

ピアが、うるう秒が加算されることをシグナリングしています。

leap-sub

ピアが、うるう秒が減算されることをシグナリングしています。

unsynced

ピアは、ほかのどのマシンにも同期されていません。

ref ID

ピアが同期されるマシンのアドレス。

time

ピアがマスタから受信した最終時間スタンプ。

our mode

ピアに対する our mode(active/passive/client/server/bdcast/bdcast client)。

peer mode

our mode に対するピアのモード。

our poll intvl

ピアに対するポーリング間隔。

peer poll intvl

ピアからのポーリング間隔。

root delay

ルートへのパスに沿った遅延(ultimate stratum 1 の時刻源)。

root disp

ルートまでのパスの分散。

reach

ピアの到達可能性(8 進のビット文字列)。

sync dist

ピアの同期間隔です。

delay

ピアまでのラウンドトリップ遅延です。

offset

クロックに対するピア クロックのオフセット。

dispersion

ピア クロックの分散。

precision

ピア クロックの精度(ヘルツ)。

version

ピアが使用中の NTP のバージョン番号。

org time

タイム スタンプを開始します。

rcv time

タイム スタンプを受信します。

xmt time

タイムス タンプを送信します。

filtdelay

各サンプルのラウンド トリップ遅延(ミリ秒)。

filtoffset

各サンプルのクロック オフセット(ミリ秒)。

filterror

各サンプルのエラーを概算します。

例9-3は、 show ntp status コマンドの出力例です。

例9-3 show ntp status コマンドの出力

pixfirewall(config)# show ntp status
Clock is synchronized, stratum 5, reference is 172.23.56.249
nominal freq is 99.9984 Hz, actual freq is 100.0266 Hz, precision is 2**6
reference time is c02128a9.73c1954b (20:29:29.452 UTC Fri Feb 22 2002)
clock offset is -0.2403 msec, root delay is 42.51 msec
root dispersion is 135.01 msec, peer dispersion is 125.21 msec
 

表 9-3 に、各カラムの値の意味を説明します。

 

表 9-3 ntp status コマンドの出力結果の説明

出力カラムの見出し
説明

synchronized

システムが NTP ピアに対して同期しています。

unsynchronized

システムが NTP ピアに対して同期していません。

stratum

このシステムの NTP 層。

reference

システムが同期されるピアのアドレス。

nominal freq

システム ハードウェア クロックの公称周波数。

actual freq

システム ハードウェア クロックの測定周波数。

precision

このシステムのクロック精度(ヘルツ)。

reference time

タイム スタンプを参照します。

clock offset

同期されたピアに対するシステム クロックのオフセット。

root delay

ルート クロックまでのパスに沿った合計遅延。

root dispersion

ルート パスの分散。

peer dispersion

同期されたピアの分散。

PIX Firewall クロックの管理

ここでは、PIX Firewall システム クロックの管理方法を説明します。次の項目について説明します。

「システム時間の表示」

「システム クロックの設定」

「夏時間と時間帯の設定」

システム時間の表示

現在のシステム時間を表示するには、次のコマンドを入力します。

show clock [detail]
 

このコマンドを使用すると、システム時間が表示されます。detail オプションは、クロック ソースと現在の夏時間設定を表示します。PIX Firewall Version 6.2 以降では、ミリ秒、時間帯、および日付が表示されます。

次に例を示します。

16:52:47.823 PST Wed Feb 21 2001

システム クロックの設定

システム時間を設定するには、次のコマンドを入力します。

clock set hh:mm:ss month day year

hh:mm:ss には、現在の時間(1~24)、分、秒を指定します。 month には、現在の月を示す最初の 3 文字を指定します。 day には月の日付(1~31)を指定し、 year には 4 桁の年を指定します(範囲は 1993~2035)。

夏時間と時間帯の設定

PIX Firewall Version 6.2 以降では、 clock コマンドも拡張され、省エネ時間(夏時間)と時間帯がサポートされています。

夏時間を設定するには、次のコマンドを入力します。

clock summer-time zone recurring [week weekday month hh:mm week weekday month hh:mm [offset]]
 

summer-time キーワードは、自動的に夏時間に切り替えます(表示目的のみ)。

recurring キーワードは、このキーワードに続く値が指定する日付で夏時間が開始、終了することを示します。値を指定しない場合は、米国の夏時間規則がデフォルトとして設定されます。week オプションは、月の第何週かを示します(1 ~ 5 または last)。 weekday オプションは、曜日を示します(Sunday、Monday、...)。month パラメータは、月のフルネームです(January、February、...)。hh:mm パラメータは、時間と分で表された時間です(24 時間形式)。offset オプションは、夏時間中に加算される分数です(デフォルトは 60)。

recurring キーワードが使用できない場合は、次のいずれかのコマンドを使用します。

clock summer-time zone date date month year hh:mm date month year hh:mm [offset]
clock summer-time zone date month date year hh:mm month date year hh:mm [offset]
 

date キーワードを使用すると、夏時間がコマンドに指定された最初の日付から開始し、2 番目の日付で終了します。 month date (例:January 31) 、または date month (例:31 January)のいずれかの形式で日付が入力できるように、2 つのコマンド形式があります。

いずれのコマンド形式も、コマンドの最初の部分に夏時間の開始日を指定し、2 番目に終了日を指定します。すべての時間はローカル時間帯を基準にしています。

開始月が終了月の後に指定されている場合は、南半球時間であるとみなされます。

zone パラメータは、夏時間が実施されたときに表示される時間帯の名称(PDT など)です。week オプションは、月の第何週かを示します(1 ~ 5 または last)。 weekday オプションは、曜日を示します(Sunday、Monday、...)。date パラメータは、月の日付を示します(1 ~ 31)。month パラメータは、月のフルネームです(January、February、...)。year パラメータは 4 桁の年です(1993 ~ 2035)。hh:mm パラメータは、時間と分で表された時間です(24 時間形式)。offset オプションは、夏時間中に加算される分数です(デフォルトは 60)。

表示目的に限定して時間帯を設定する場合は、次のコマンドを入力します。

clock timezone zone hours [minutes]
 

clock timezone コマンドは、表示目的の時間帯を設定します(内部的な時間は UTC に合わせた状態)。時間帯を世界標準時(UTC)に設定するには、no 形式のコマンドを使用します。zone パラメータは、標準時間が実施されたときに表示される時間帯の名前です。hours パラメータは UTC に対するオフセット時間です。minutes オプションは UTC に対するオフセット分です。

clear clock コマンドは、夏時間設定を削除し、時間帯を UTC に設定します。

Telnet を使用したリモート システム管理


) SSH は、低セキュリティ インターフェイスの使用時に PIX Firewall をリモート管理する別のオプションです。詳細については、「SSH を使用したリモート システム管理」を参照してください。


シリアル コンソールで PIX Firewall を設定できるのは 1 ユーザですが、複数の管理者がいるサイトは、これでは不便です。PIX Firewall では、任意の内部インターフェイスのホストから Telnet 経由でシリアル コンソールにアクセスできます。IPSec を設定すると、Telnet を使用して、外部インターフェイスから PIX Firewall のコンソールを遠隔管理できます。

ここでは、次の項目について説明します。

「内部インターフェイスへの Telnet コンソール アクセスの設定」

「外部インターフェイスへの Telnet 接続の許可」

「Telnet の使用方法」

「トレース チャネル機能」

内部インターフェイスへの Telnet コンソール アクセスの設定


) このコマンドの詳細については、『Cisco PIX Firewall Command Reference』の telnet コマンドのページを参照してください。


Telnet コンソール アクセスを設定するには、次の手順を実行します。


ステップ 1 PIX Firewall の telnet コマンドを入力します。

たとえば、アドレスが 192.168.1.2 の内部インターフェイス上のホストから PIX Firewall にアクセスするには、次のように入力します。

telnet 192.168.1.2 255.255.255.255 inside
 

Telnet で低セキュリティ インターフェイスにアクセスする場合は、「外部インターフェイスへの Telnet 接続の許可」を参照してください。

ステップ 2 必要に応じて、PIX Firewall がセッションを切断するまでに、Telnet セッションがアイドル状態を維持する時間の長さを設定します。

デフォルト値の 5 分では一般に短かすぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。アイドル時間を長く設定する例を示します。

telnet timeout 15
 

ステップ 3 認証サーバを使用してコンソールへのアクセスを保護するには、aaa authentication telnet console コマンドを使用します。

これには、認証サーバ上にユーザ名とパスワードが設定されていることが必要です。コンソールにアクセスすると、ログイン認証を求めるプロンプトが表示されます。 認証サーバがオフラインである場合も、ユーザ名 pix を使用し、enable password コマンドでパスワードを設定することで、コンソールにアクセスできます。

ステップ 4 write memory コマンドを使用して、コンフィギュレーションで指定したコマンドを保存します。

例9-4に、Telnet を使用して、ホストによる PIX Firewall コンソールへのアクセスを許可するコマンドを示します。

例9-4 Telnet の使用方法

telnet 10.1.1.11 255.255.255.255
telnet 192.168.3.0 255.255.255.0
 

最初の telnet コマンドでは、単一のホスト 10.1.1.11 に対して、Telnet による PIX Firewall コンソールへのアクセスを許可します。ネットマスクの最終オクテットの 255 は、指定されたホストだけがコンソールにアクセスできることを意味します。

2 番目の telnet コマンドは、192.168.3.0 ネットワーク上のすべてのホストに対して、PIX Firewall コンソールへのアクセスを許可します。ネットマスクの最終オクテットの 0 は、そのネットワークのすべてのホストに対して、アクセスを許可することを意味します。


) アクティブな最大 5 つの Telnet セッションが PIX Firewall コンソールに対して同時に許可されます。


外部インターフェイスへの Telnet 接続の許可

ここでは、PIX Firewall の低セキュリティ インターフェイスに対する Telnet 接続を設定する方法を説明します。次の項目について説明します。

「概要」

「Easy VPN リモート デバイスによる Telnet の使用方法」

「Cisco Secure VPN Client Version 1.1 の使用方法」

概要

この項の説明は、Cisco Secure Policy Manager Version 2.0 以降を使用する場合にも適用されます。ここでは、Telnet 接続を開始するために、Cisco VPN Client Version 3.x、Cisco Secure VPN Client Version 1.1、または Cisco VPN 3000 Client Version 2.5 を使用していることを前提とします。


auth-prompt コマンドを使用して、PIX Firewall を「通過する」Telnet セッションのログイン プロンプトを変更します。PIX Firewall への Telnet セッションに対するログイン プロンプトは変更しません。


Telnet アクセスの設定後は、コマンドの使用方法について、「Telnet の使用方法」を参照してください。


) VPN クライアントには、2 つのセキュリティ ポリシーを設定する必要があります。1 つのセキュリティ ポリシーを Telnet 接続の保護に使用し、もう 1 つのセキュリティ ポリシーを内部ネットワーク接続の保護に使用します。


Easy VPN リモート デバイスによる Telnet の使用方法

次に、Easy VPN リモート サーバとして使用する PIX Firewall と併用できるさまざまな種類の Easy VPN リモート デバイスを示します。

ソフトウェア クライアント:Easy VPN サーバに直接接続します。ただし、前もってクライアント ソフトウェアを各ホスト コンピュータにインストールおよび設定しておく必要があります。 次のものが含まれます。

Cisco VPN Client Version 3.x(別名 Unity Client 3.x)

Cisco VPN 3000 Client Version 2.5(別名 Altiga VPN Client Version 2.5)

ハードウェア クライアント:リモート ネットワーク上の複数ホストが Easy VPN サーバで保護されたネットワークにアクセスできるようにします。このとき、リモート ホスト側では特別な設定もソフトウェアのインストールも必要ありません。 次のものが含まれます。

PIX 501 または PIX 506/506E

Cisco VPN 3002 Hardware Client

Cisco IOS ベースの Easy VPN リモート デバイス(たとえば、Cisco 800 シリーズや 1700 シリーズのルータ)

PIX Firewall を Easy VPN サーバとして設定する場合、または Easy VPN リモート デバイスを PIX Firewall に接続するよう設定する場合の詳細については、「VPN リモート アクセスの管理」を参照してください。

Easy VPN リモート デバイスから PIX Firewall に対して Telnet セッションを実行するため、VPN トンネルを開くには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、IPSec を設定します。

isakmp policy 10 authentication pre-share
isakmp policy 10 group 2
isakmp enable outside
crypto ipsec transform-set esp-des-md5 esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set esp-des-md5
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside
 

ステップ 2 次のコマンドを入力して、Telnet セッションの IP プールを設定します。

ip local pool tnpool 1.1.1.1-1.1.1.1
 

ステップ 3 次のコマンドを入力して、Telnet アクセスを設定します。

telnet 1.1.1.1 255.255.255.255 outside
 

ステップ 4 次のコマンドを入力して、リモート Telnet ユーザの VPN グループを設定します。

vpngroup telnet address-pool tnpool
vpngroup telnet password 12345678
 

ステップ 5 次のコマンドを入力して、VPN クライアント認証を設定します。

group telnet
password 12345678
 


 

Cisco Secure VPN Client Version 1.1 の使用方法

この項の説明は、Cisco Secure VPN Client Version 1.1 を使用している場合に適用されます。例では、PIX Firewall の外部インターフェイスの IP アドレスが 168.20.1.5 で、仮想アドレス プールから得られる Cisco Secure VPN Client の IP アドレスが 10.1.2.0 です。

PIX Firewall の低セキュリティ インターフェイスへの Telnet 接続を暗号化するには、PIX Firewall コンフィギュレーションの一部として次の手順を実行します。


ステップ 1 アドレスの仮想ローカル プールから得られる宛先アドレスを使用して、 access-list コマンド文を作成し、PIX Firewall から VPN クライアントへ向かうトラフィックのうち、保護するものを定義します。

access-list 80 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0
 

ステップ 2 Telnet を使用して PIX Firewall のコンソールにアクセスできるホストを指定します。

telnet 10.1.2.0 255.255.255.0 outside
 

ローカル プールから得られる VPN クライアントのアドレスと、外部インターフェイスを指定します。

ステップ 3 VPN クライアントで、Remote Party Identity IP アドレスとゲートウェイ IP アドレスを同じ IP アドレス(つまり、PIX Firewallの外部インターフェイスのIPアドレス)として指定するセキュリティ ポリシーを作成します。この例では、PIX Firewall の外部インターフェイスの IP アドレスは 168.20.1.5 です。

ステップ 4 VPN クライアントでセキュリティ ポリシーの残りの部分を設定して、PIX Firewall のセキュリティ ポリシーと一致させます。


 


) VPN クライアントの設定を完了するには、『Cisco PIX Firewall Command Reference』の vpngroup コマンドのページを参照してください。


Telnet の使用方法

Telnet アクセスをテストするには、次の手順を実行します。


ステップ 1 ホストから、PIX Firewall インターフェイスの IP アドレスに対して Telnet セッションを開始します。

Windows 95 または Windows NT を使用している場合は、Start>Run をクリックして Telnet セッションを開始します。たとえば、内部インターフェイスの IP アドレスが 192.168.1.1 の場合は、次のようにコマンドを入力します。

telnet 192.168.1.1
 

ステップ 2 PIX Firewall によって、パスワードを入力するように求められます。

PIX passwd:
 

cisco と入力し、Enter キーを押します。これで、PIX Firewall にログインします。

デフォルト パスワードは cisco で、これは passwd コマンドで変更できます。

シリアル コンソールから設定できるコマンドは、すべて Telnet コンソールに入力できますが、
PIX Firewall を再起動すると、再起動後に再び PIX Firewall にログインする必要があります。

Windows 95 や Windows NT の Telnet セッションなど、一部の Telnet アプリケーションでは、矢印キーを使用する PIX Firewall のコマンド ヒストリ機能にアクセスできません。ただし、Ctrl-P を押すと、最後に入力したコマンドを呼び出すことができます。

ステップ 3 Telnet アクセスが可能になれば、デバッグ時に ping 情報を表示すると便利です。

debug icmp trace コマンドを使用することにより、Telnet セッションから ping 情報を表示できます。トレース チャネル機能も debug の出力を左右します。これについては、「トレース チャネル機能」で説明します。

ping が正常に動作すると、次のようなメッセージが表示されます。

Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.23
 

ステップ 4 さらに、Telnet コンソール セッションを使用することにより、syslog メッセージを表示できます。

a. logging monitor 7 コマンドを使用して、開始メッセージを表示します。「7」を指定することにより、すべてのレベルの syslog メッセージが表示されます。

プロダクション モードで PIX Firewall を使用している場合は、logging buffered 7 コマンドを使用して、メッセージをバッファに保存すると便利です。バッファ内のメッセージは、
show logging コマンドで表示できます。clear logging コマンドを使用すると、バッファを消去して表示を簡潔にできます。メッセージのバッファ保存を停止するには、no logging buffered コマンドを使用します。

数字を 7 から 3 などの小さい値に変更すると、表示するメッセージ数を制限できます。

b. logging monitor コマンドを入力した場合には、その後に terminal monitor コマンドを入力して、メッセージが Telnet セッションで表示されるようにします。メッセージの表示を中止するには、terminal no monitor コマンドを使用します。

トレース チャネル機能

debug packet コマンドは、出力をトレース チャネルに送信します。その他の debug コマンドの出力は、トレース チャネルには送信されません。トレース チャネルを使用すると、PIX Firewall コンソール セッションまたは Telnet セッション中の画面上での出力の表示方法が変わります。

debug コマンドでトレース チャネルを使用しない場合、各セッションは独立して動作します。つまり、あるセッションで起動された任意のコマンドはそのセッションにしか表示されないことになります。デフォルトの設定では、トレース チャネルを使用しないセッションの出力はディセーブルです。

トレース チャネルのロケーションは、コンソール セッションと同時に Telnet コンソール セッションを実行するのか、PIX Firewall シリアル コンソールだけを使用するのかによって異なります。

PIX Firewall シリアル コンソールだけを使用する場合、すべての debug コマンド出力がシリアル コンソールに表示されます。

シリアル コンソール セッションと、コンソールにアクセスする Telnet コンソール セッションの両方を使用する場合、debug コマンドをどこに入力するかに関係なく、出力は Telnet コンソール セッションで表示されます。

2 つ以上の Telnet コンソール セッションを使用している場合は、最初のセッションがトレース チャネルになります。そのセッションが終了すると、シリアル コンソール セッションがトレース チャネルになります。次の Telnet コンソール セッションがコンソールにアクセスすると、そのセッションがトレース チャネルになります。

debug コマンドは、すべての Telnet コンソール セッションとシリアル コンソール セッションで共通です。


トレース チャネル機能には、ある管理者がシリアル コンソールを使用していて、別の管理者が
Telnet コンソール セッションを開始すると、シリアル コンソールの debug コマンドの出力が警告なく突然停止するという欠点があります。一方、Telnet コンソール セッションを使用している管理者にとっては、予想外に突然、debug コマンド出力が表示される事態になります。シリアル コンソールを使用していて、debug コマンドの出力が表示されない場合には、who コマンドを使用して、Telnet コンソール セッションが実行されていないかどうか調べてください。


SSH を使用したリモート システム管理

ここでは、Secure Shell (SSH)を使用して、PIX Firewall コンソールにリモート アクセスする手順を説明します。次の項目について説明します。

「概要」

「SSH クライアントの取得」

「SSH クライアントを使用したホストの指定」

「SSH クライアントに対する認証設定」

「SSH クライアントによる PIX Firewall への接続」

「SSH ステータスの表示」

概要

SSH は、強力な認証と暗号化機能を提供する TCP/IP など、信頼性の高いトランスポート層で実行されるアプリケーションです。 PIX Firewall は、SSH Version 1 で提供されている SSH リモート シェル機能をサポートしています。 SSH Version 1 は、Cisco IOS ソフトウェア デバイスでも動作します。最大で 5 台の SSH クライアントが、PIX Firewall コンソールに同時にアクセスできます。


) SSH の使用を試みる前に、PIX Firewall に対する RSA キー ペアを生成してください。SSH を使用するには、ご使用の PIX Firewall に DES または 3DES アクティベーション キーが必要です。


PIX Firewall 装置をリモートで設定する別の方法では、PIX Firewall への Telnet 接続を使用して、シェル セッションを開始し、設定モードに入ります。この接続方法では、Telnet と同程度のセキュリティしか提供されません。つまり、下位層の暗号化(たとえば、IPSec)およびアプリケーション セキュリティ(リモート ホストでのユーザ名/パスワードの認証)しか実行しません。


) PIX Firewall SSH では、IPSec なしでセキュアなリモート シェル セッションを実行できます。またサーバとしてだけ機能します。つまり、PIX Firewall から SSH 接続は起動できないことを意味します。


SSH クライアントの取得


) SSH v1.x と v2 はまったく異なるプロトコルで、互換性はありません。必ず、SSH v1.x をサポートするクライアントをダウンロードしてください。


SSH v1.x クライアントは、さまざまな Web サイトからダウンロードできます。次のようなサイトがあります。

Windows 3.1、Windows CE、Windows 95、Windows NT 4.0:次の Web サイトから、Tera Term Pro SSH v1.x クライアントを無料でダウンロードできます。

http://hp.vector.co.jp/authors/VA002416/teraterm.html

Tera Term Pro 用 TTSSH セキュリティ拡張は、次の Web サイトで入手できます。

http://www.zip.com.au/~roca/ttssh.html


) SSH で Tera Term Pro を使用するには、TTSSH をダウンロードします。TTSSH では Zip ファイルが提供されています。その Zip ファイルをシステムにコピーします。Zip 圧縮ファイルを Tera Term Pro をインストールしたフォルダに解凍します。


Linux、Solaris、OpenBSD、AIX、IRIX、HP/UX、FreeBSD、NetBSD:次の Web サイトから SSH v1.x クライアントをダウンロードします。

http://www.openssh.com

Macintosh (国際版ユーザのみ):次の Web サイトから Nifty Telnet 1.1 SSH クライアントをダウンロードします。

http://www.lysator.liu.se/~jonasw/freeware/niftyssh/

SSH クライアントを使用したホストの指定

次のコマンドを入力することによって、SSH を使用して PIX Firewall コンソールへのアクセスに使用するホストを指定します。

[no] ssh ip_address [netmask] [interface_name]

このコマンドの使用方法は、次のとおりです。

ip_address には、PIX Firewall への SSH 接続を開始する権限を与えられたホストまたはネットワークの IP アドレスを指定します。

netmask には、 ip_address のネットワーク マスクを指定します。


) netmask パラメータは、インターフェイス名を省略した場合とデフォルトのサブネット マスク(255.255.255.255)を使用する場合のオプションです。netmask パラメータは、インターフェイス名を指定する場合、またはデフォルトのサブネット マスクを使用しない場合に必要です。


interface_name には、SSH 接続を開始するホストまたはネットワークがある PIX Firewall のインターフェイス名を指定します。

切断されるまでセッションがアイドル状態を維持する時間(分単位)を指定するには、次のようにコマンドを入力します。

ssh timeout number
 

number には、1~60(分)の値を指定します。デフォルトの設定値は 5 分です。

特定のセッションを切断するには、次のコマンドを入力します。

ssh disconnect session_id
 

session_id には、切断する特定のセッションに対する ID を指定します。アクティブ セッションの ID を表示するには、show ssh sessions コマンドを使用します。

コンフィギュレーションから ssh コマンド文をすべて削除するには、次のコマンドを使用します。

clear ssh
 

コンフィギュレーションから選択した ssh コマンド文を削除するには、 no キーワードを使用します。


) SSH を使用するには、ご使用の PIX Firewall に DES または 3DES アクティベーション キーが必要です。さらに、クライアントが PIX Firewall コンソールに接続する前に、PIX Firewall 用の RSA キー ペアを生成しておく必要があります。キーを生成するには、ca generate rsa key 512 コマンドを使用します。必要に応じて、モジュールのサイズを 512 以外の値に変更してください。RSA キーを生成したら、ca save all コマンドを使用してキーを保存します。


SSH クライアントに対する認証設定

PIX Firewall にアクセスする SSH クライアントに対するローカル認証を設定するには、次のコマンドを入力します。

ssh -c 3des -1 pix -v ipaddress
 

ローカル認証に使用するパスワードは、Telnet アクセスで使用するパスワードと同じです。このパスワードのデフォルトは cisco です。このパスワードを変更するには、次のコマンドを入力します。

passwd string
 

SSH では、ユーザ名として最大 100 文字、パスワードとして最大 50 文字まで指定できます。

AAA サーバを使用した認証をイネーブルにするには、次のコマンドを入力します。

aaa authenticate ssh console server_tag
 

server_tag には、AAA サーバの ID を指定します。

SSH クライアントによる PIX Firewall への接続

SSH クライアントで SSH を使用して PIX Firewall コンソールにアクセスするには、ユーザ名に pix を使用して Telnet パスワードを入力します。

SSH セッションを開始すると、次のように SSH ユーザ認証プロンプトが表示される前に、PIX Firewall コンソール上にドット(.)が表示されます。

pixfirewall(config)# .
 

ドットが表示されても、SSH の機能には影響を与えません。コンソールにドットが表示されるのは、ユーザ認証が始まる前で、サーバ キーを生成する場合か、または SSH キー交換中にプライベート キーを使用してメッセージを暗号化する場合です。これらのタスクには 2 分以上かかることがあります。このドットは、PIX Firewall がビジーでありハングしていないことを確認するインディケータです。

SSH ステータスの表示

SSH セッションのステータスを表示するには、次のコマンドを入力します。

show ssh [sessions [ip_address]]
 

show ssh sessions コマンドを使用すると、次のように表示されます。

Session ID Client IP Version Encryption State Username
0 172.16.25.15 1.5 3DES 4 -
1 172.16.38.112 1.5 DES 6 pix
2 172.16.25.11 1.5 3DES 4 -

Session ID は、SSH セッションを識別する一意な番号です。Client IP は、SSH クライアントが動作しているシステムの IP アドレスです。Version には、SSH クライアントがサポートしているプロトコルのバージョン番号が表示されます。Encryption カラムには、SSH クライアントが使用している暗号のタイプが表示されます。State カラムには、クライアントと PIX Firewall との相互対話の進捗状況が一覧表示されます。Username には、セッションに対して認証されたログイン ユーザ名が表示されます。AAA 以外の認証が使用された場合は、ユーザ名「pix」が表示されます。

Auto Update サポートのイネーブル化

Auto Update は、PIX Firewall Version 6.2 で導入されたプロトコル仕様です。ここでは、PIX Firewall 上でこの仕様のサポートをイネーブルにする方法について、次の項目で説明します。

「概要」

「Auto Update Server の指定」

「Auto Update Support の管理」

「Auto Update Configuration の表示」

概要

Auto Update は、PIX Firewall Version 6.2 以降でサポートされたプロトコル仕様です。 この仕様によって、PIX Firewall はコンフィギュレーションやソフトウェア イメージをダウンロードし、中央の Auto Update Server (AUS)から基本的な監視を実行できます。 PIX Firewall は更新のために AUS へ定期的にポーリングを実行でき、AUS は PIX Firewall に対していつでもすぐにポーリング要求を送信するように指示します。AUS と PIX Firewall 間の通信には、各 PIX Firewall 上での通信パスの設定とローカル CLI の設定が必要です。

Auto Update Server の指定

AUS の URL を指定するには、次のコマンドを使用します。

[no] auto-update server url [verify-certificate]
 

URL が設定できるのは 1 つのサーバだけです。url には、次の構文を使用して URL を指定します。

[http[s]://][user:password@]location[:port]/pathname
 

https を指定すると、SSL が使用されます。user および password セグメントは、サーバにログインする場合の基本認証に使用します。 write terminal show configuration コマンド、または show tech-support コマンドのいずれかを使用してコンフィギュレーションを表示すると、ユーザ名とパスワードが「********」で置き換えられます。

location には、サーバのアドレスを指定します。port セグメントには、サーバ上でコンタクトするポートを指定します。HTTP のデフォルトは 80、HTTPSのデフォルトは 443 です。pathname セグメントは、リソース名です。

verify-certificate オプションは、サーバから返された証明書を検証するように指定します。

no auto-update server コマンドは、PIX Firewall 上で動作中の Auto Update デーモンを終了することによって、更新のためのポーリングをディセーブルにします。

Auto Update Support の管理

PIX Firewall の AUS へのポーリングをイネーブルにするには、次のコマンドを使用します。

[no] auto-update device-id hardware-serial | hostname | ipaddress [if-name] | mac-address [if-name] | string text
 

auto-update device-id コマンドは、AUS と通信するときに送信するデバイス ID の指定に使用します。使用する ID は、次のいずれかのパラメータによって決まります。

hardware-serial:PIX Firewall シリアル番号を使用します。

hostname オプション:PIX Firewall ホスト名を使用します。

ipaddress オプション:名前 if-name でインターフェイスの IP アドレスを使用します。 インターフェイス名を指定しない場合、AUS との通信に使用するインターフェイスの IP アドレスを使用します。

mac-address オプション:名前 if-name でインターフェイスの MAC アドレスを使用します。 インターフェイス名を指定しない場合、AUS との通信に使用するインターフェイスの MAC アドレスを使用します。

string:指定されたテキスト識別子を使用します。空白や ‘、"、 、>、&、? は使用できません。

デバイス ID をデフォルトのホスト名にリセットするには、no auto-update device-id コマンドを使用します。

コンフィギュレーション、またはイメージの更新を要求するために AUS がポーリングする回数を指定するには、次のコマンドを入力します。

[no] auto-update poll-period poll-period [retry-count [retry-period]]
 

poll-period パラメータは、更新を確認する間隔(分単位)を指定します。デフォルトは 720 分(12時間)です。retry-count オプションは、サーバへの最初の接続に失敗した場合に、再試行する回数を指定します。デフォルト値は 0 です。 retry-period オプションは、リトライの間の待機時間(分単位)を指定します。デフォルト値は5です。

ポーリング間隔をデフォルトに戻すには、no auto-update poll-period コマンドを使用します。

Auto Update Server に一定期間アクセスがなかった場合にパケットの送信を中断するには、次のコマンドを使用します。

[no] auto-update timeout period
 

PIX Firewall に最新のイメージとコンフィギュレーションがあることを確認するには、このコマンドを使用します。この状況は、既存のメッセージ %PIX-3-201008 で報告されます。

Auto Update コンフィギュレーション全体を削除するには、次のコマンドを入力します。

clear auto-update
 

Auto Update Configuration の表示

AUS、ポーリング時間、タイムアウト時間、デバイス ID、ポーリング統計、および更新統計を表示するには、次のコマンドを入力します。

show auto-update
 

次に、 show auto-update コマンドの出力例を示します。

pix(config)# show auto-update
Server: https://********@172.23.58.115:1742/management.cgi?1276
Certificate will be verified
Poll period: 720 minutes, retry count: 2, retry period: 5 minutes
Timeout: none
Device ID: host name [pix-pri]
Next poll in 4.93 minutes
Last poll: 11:36:46 PST Tue Nov 13 2001
Last PDM update: 23:36:46 PST Tue Nov 12 2001

パケットの取得

ここでは、PIX Firewall Version 6.2 で導入された、パケット取得ユーティリティについて説明します。次の項目について説明します。

「概要」

「設定手順」

「パケット取得の出力フォーマット」

パケット取得の例(P.9-33)

概要

パケットの取得は、接続障害のトラブルシューティングや不審なアクティビティの監視を行う場合に便利です。PIX Firewall パケット取得ユーティリティを使用することで、どの PIX Firewall インターフェイス上でも特定の種類のトラフィックを取り込むことができます。

パケット取得ユーティリティには、次の機能があります。

リニア バッファに対するパケットの取得

ARP パケット、その他の Layer 2 パケットの取得

取り込まれたパケットに対する PIX Firewall クロック(ミリ秒単位)を基準としたタイムスタンプ

選択的なパケットの取得とアクセス リストをベースとした表示

取り込まれたバッファをコンソール上、または Web ブラウザで表示

取り込まれたデータの簡潔表示と詳細表示

取り込まれたパケットの libpcap フォーマットでのエクスポート

設定手順

PIX Firewall インターフェイス上でパケットを取り込んで表示するには、次の手順を実行します。


ステップ 1 パケット取得を定義して、特定のインターフェイス上でパケットの取得を開始するには、次のコマンドを入力します。

capture capture-name [access-list acl_id][buffer bytes] [ethernet-type type][interface name][packet-length bytes]
 

capture-name には、取り込まれたパケットの表示、またはコピーに使用する英数字の識別子を指定します。PIX Firewall は、パケット取得バッファが一杯になるまで、 name で指定したインターフェイス上でパケットを取得します。

acl_id には、既存のアクセスリストの名前を指定します。既存のアクセスリストによって、次の 1 つ、または複数の選択基準に基づいて取得を制限できます。

IP プロトコルのタイプ

発信元アドレスまたは宛先アドレス

TCP または UDP ポート

ICMP のタイプ

アクセス コントロール リストの設定についての情報は、「ネットワーク アクセスとネットワーク使用の制御」の「 発信接続の制御」を参照してください。

buffer オプションを使用する場合、 bytes には、パケット取得バッファに割り当てるバイト数を指定します。この値は、PIX Firewall 上で使用可能なメモリ容量によって決まります。 デフォルトのバッファ サイズは 512 K です。 PIX Firewall に十分なメモリが実装されていれば、異なるインターフェイス上で複数のパケット取得を同時に実行することが可能です。

ethernet オプションを使用する場合、 type には、次のいずれかのパケット タイプを指定します。つまり、ip、arp、rarp、vlan、802.1Q、ipx、ip6、pppoed、pppoes、または 1 から 65536 までの任意の数(イーサネット パケットで指定されたプロトコル タイプに対応)です。802.1Q(VLAN)を使用する場合、802.1Q タグは自動的にスキップされ、内部のイーサネット タイプがマッチングに使用されます。 ethernet-type 0 と入力すると、すべてのパケット タイプが取り込まれます。

packet-length オプションを使用する場合、 bytes には、各パケットから取得バッファにコピーする最大バイト数を指定します。デフォルトの制限は、68 バイトです。

ステップ 2 パケット取得バッファの内容を表示するには、次のコマンドを入力します。

show capture [capture-name][access-list acl_id][count count][detail] [dump]
 

capture-name には、パケット取得に割り当てた識別子を指定します。acl_id には、取り込まれたパケットの表示を制限するために、アクセス コントロール リストの名前を指定します。count には、表示パケット数を指定します。

表 9-4 では、 detail オプションを使用する場合に含まれるフィールドを角カッコ([ ])で囲んで示しています。

dump オプションは、データ リンク トランスポートを介して転送されたパケットを 16 進数で表示します。メディア アクセス制御(MAC)情報は表示されないことに注意してください。利用可能なプロトコルがない場合にも、ダンプは表示されます。

パケット取得のための現在のランタイム設定を表示するには、 show capture コマンドにパラメータを指定しないで使用します。

ステップ 3 Web ブラウザを使用してパケット取得を表示するには、次のコマンドを入力します。

https://pix-host/capture/capture-name[/pcap]
 

pix-host には、パケット取得が行われる PIX Firewall の IP アドレス、またはホスト名を指定します。 capture-name には、表示したいパケット取得の名前を指定します。

pcap オプションを使用すると、パケット取得が libpcap フォーマットで Web ブラウザにダウンロードされます。ブラウザからパケット取得を保存したら、tcpdump またはその他のアプリケーションを使用して libpcap ファイルを表示できます。

ステップ 4 TFTP サーバにパケット取得バッファの内容をコピーするには、次のコマンドを入力します。

copy capture:capture-name tftp://location/path [pcap]
 

capture-name には、表示したいパケット取得の名前を指定します。 location path には、ホスト名、パス名、取り込んだパケットを保存するファイル名を指定します。 一部の TFTP サーバでは、書き込み許可が「world」に指定された既存のファイルが存在している必要があります。 pcap オプションを使用すると、このファイルが libpcap フォーマットで作成されるため、 tcpdump またはその他のアプリケーションを使用して表示できます。

ステップ 5 パケット取得バッファを消去するには、次のコマンドを入力します。

clear capture capture-name
 

ステップ 6 パケット取得定義を消去し、それに割り当てられていたリソースを解放するには、次のコマンドを入力します。

no capture capture-name
 

capture-name には、消去するパケット取得の名前を指定します。

ステップ 7 パケット取得を停止し、現在のパケット取得バッファの内容を保存するには、次のコマンドを入力します。

no capture capture-name [interface name]
 

capture-name には、停止したいパケット取得の名前を指定します。 interface オプションを使用して特定のインターフェイスを識別する場合、 name には、そのインターフェイスに割り当てられている名前を指定します。

ステップ 8 実行中のパケット取得からアクセス リストを削除するには、次のコマンドを入力します。

no capture capture-name access-list acl_id
 

capture-name にはパケット取得の名前を指定し、 acl_id にはアクセス リストの名前を指定します。


 

パケット取得の出力フォーマット

表 9-4 に、異なるプロトコル タイプのパケット取得に対する出力フォーマットを示します。デコードされたパケット出力は、そのパケットのプロトコルに依存します。 detail オプションを指定して capture コマンドを使用すると、出力が角カッコに囲まれて表示されます。

 

表 9-4 パケット取得フォーマット

取得タイプ
構文

ICMP パケット

HH:MM:SS.ms [ether-hdr] ip-source ip-destination: icmp: icmp-type icmp-code [checksum-failure]

UDP パケット

HH:MM:SS.ms [ether-hdr] src-addr.src-port dest-addr.dst-port:[checksum-info] udp payload-len

TCP パケット

HH:MM:SS.ms [ether-hdr] src-addr.src-port dest-addr.dst-port: tcp-flags [header-check] [checksum-info] sequence-number ack-number tcp-window urgent-info tcp-options

その他の IP パケット

HH:MM:SS.ms [ether-hdr] src-addr dest-addr: ip-protocol ip-length

ARP パケット

HH:MM:SS.ms [ether-hdr] arp-type arp-info

その他のパケット

HH:MM:SS.ms ether-hdr: hex-dump

パケット取得の例

ここでは、異なるタイプのパケット取得の例を紹介します。

例9-5に、HTTP パケット取得の例を示します。

例9-5 HTTP セッションの取得

次の例では、209.165.200.225 の外部クライアントから、内部の HTTP サーバにトラフィックが取り込まれます。

access-list http permit tcp host 10.120.56.15 eq http host 209.165.200.225
access-list http permit tcp host 209.165.200.225 host 10.120.56.15 eq http
capture capweb access-list http packet-length 74 interface inside
 

例9-6に、Web ブラウザを使用してパケット取得を表示する方法を図示します。

例9-6 Web ブラウザによる libpcap ファイルの表示

次のコマンドでは、Internet Explorer や Netscape Communicator などの Web ブラウザを使用して、libpcap ファイルをローカル マシンにダウンロードします。

https://209.165.200.226/capture/http/pcap
 

例9-7では、FTP トレースを 209.165.200.226 の TFTP サーバ上のファイル「ftp-dump」にコピーします。

例9-7 リモート TFTP サーバへの保存

pixfirewall# copy capture:ftp tftp://209.165.200.226/ftp-dump
Writing to file ’/tftpboot/ftp-dump’ at 209.165.200.226 on outside

例9-8 では、ARP パケットの取得を示します。

例9-8 ARP パケットの取得

pixfirewall# capture arp ethernet-type arp interface outside
pixfirewall# show capture arp
6 packets captured, 6 packets to be shown
10:46:25.452369 arp who-has 209.165.200.225 (ff:ff:ff:ff:ff:ff) |
tell 209.165.200.235
10:46:26.312850 arp who-has 209.165.201.2 tell 209.165.200.227
10:46:26.392283 arp who-has 209.165.200.225 (ff:ff:ff:ff:ff:ff)
tell 209.165.200.235
10:46:28.923368 arp who-has 209.165.200.226 (ff:ff:ff:ff:ff:ff
tell 209.165.200.235
10:46:29.255998 arp who-has 209.165.202.129
tell 209.165.202.130 (0:2:b9:45:bf:7b)
10:46:29.256136 arp reply 209.165.202.129 is-at 0:a0:c9:86:8e:9c

例9-9 では、PPPoE ディスカバリ パケットの取得を示します。

例9-9 PPPoE ディスカバリの取得

pixfirewall# capture pppoed ethernet-type pppoed interface outside
pixfirewall(config)# show capture pppoed
3 packets captured, 3 packets to be shown
02:13:21.844408 ffff.ffff.2ac5 ffff.ffff.ffff 0x8863 32:
1109 0000 000c 0101 0000 0103 0004 386c
f280
02:13:25.841738 ffff.ffff.3cc0 ffff.ffff.ffff 0x8863 32:
1109 0000 000c 0101 0000 0103 0004 386c
f280
02:13:33.841875 ffff.ffff.76c0 ffff.ffff.ffff 0x8863 32:
1109 0000 000c 0101 0000 0103 0004 386c
f280
 

例9-10では、複数のインターフェイス上でのパケット取得を示します。この例では、ホスト 209.165.202.129 で FTP サーバに対する FTP セッションを取得します。

例9-10 複数のインターフェイス上での取得

pixfirewall(config)# access-list ftp tcp any host 209.165.202.129 eq ftp
pixfirewall(config)# access-list ftp tcp host 209.165.202.129 eq ftp any
pixfirewall# capture ftp access-list ftp
pixfirewall# capture ftp interface inside interface outside
pixfirewall# show capture
pixfirewall# capture ftp access-list ftp interface outside interface inside
pixfirewall# show capture ftp
5 packets captured, 5 packets to be shown
11:21:17.705041 10.1.1.15.2158 > 10.1.1.15.2158:
S 3027585165:3027585165(0) win 512 <mss 1460>
11:21:17.705133 209.165.202.130.2158 > 209.165.202.130.2158:
S 4192390209:4192390209(0) win 512 <mss 1380>
11:21:17.705651 10.1.1.15.2158 > 10.1.1.15.2158:
. ack 3463843411 win 32120
11:21:17.705667 209.165.202.130.2158 > 209.165.202.130.2158:
. ack 3463843411 win 32120
11:21:20.784337 10.1.1.15.2158 > 10.1.1.15.2158:
. ack 3463843521 win 32120

フラッシュ メモリへのクラッシュ情報の保存

PIX Firewall Version 6.3 以降では、PIX Firewall システムのクラッシュ時に生成された情報をデフォルトでフラッシュ メモリに保存します。 以前のバージョンでは、クラッシュ情報はコンソールに表示されるだけでした。

クラッシュ フラッシュ ファイルの現在の内容を消去するには、次のコマンドを入力します。

clear crashinfo
 

フラッシュ メモリへのクラッシュ情報の保存をディセーブルにするには、次のコマンドを入力します。

crashinfo save disable
 

フラッシュ メモリにテスト クラッシュ情報を保存するには、次のコマンドを入力します。

crashinfo test
 

このコマンドは再確認およびテストの目的で使用でき、実際には PIX Firewall をクラッシュさせません。 このコマンドはフラッシュ メモリにあるクラッシュ ファイルの現在の内容を消去して、情報をフラッシュ メモリに保存します。この情報は、実際のシステム クラッシュ時に保存される内容と同様です。 このコマンドはクラッシュ情報をシミュレートし、コマンド入力前に表示されていたコマンド プロンプトに戻ります。

クラッシュ フラッシュ ファイルの現在の内容を表示するには、次のコマンドを入力します。

show crashinfo
 

フラッシュ メモリに保存されたクラッシュ情報がテスト クラッシュの場合、ファイルの最初の文字列は「: Saved_Test_Crash」となり、最後の文字列は「: End_Test_Crash」となります。 フラッシュ メモリに保存されたクラッシュ情報が実際のクラッシュの場合、ファイルの最初の文字列は
「: Saved_Crash」となり、最後の文字列は「: End_Crash」となります。

実際に PIX Firewall をクラッシュさせるには、次のコマンドを入力します。

crashinfo force [page-fault|watchdog]
 

注意 このコマンドの使用には十分注意してください。 このコマンドによって PIX Firewall は実際にクラッシュした後、再度ブートします。

クラッシュはまずフラッシュ メモリにダンプされてから、ローカル コンソールに出力されます。

PIX Firewall をページ フォールトの結果としてクラッシュさせるには、page-fault オプションを使用します。 PIX Firewall ウォッチ ドッグ機能の結果として PIX Firewall をクラッシュさせるには、watchdog オプションを使用します。

crashinfo force コマンドを入力すると、PIX Firewall によって次の警告プロンプトが表示されます。

WARNING: This command will force the PIX to crash and
reboot. Do you wish to proceed? [confirm]:
 

操作を確定するには、y と入力するか、Enter キーを押します。 PIX Firewall はクラッシュし、再度ブートします。

フラッシュ メモリへのクラッシュ情報の保存がイネーブルかディセーブルかを表示するには、次のコマンドを入力します。

show crashinfo save
 

syslog の使用方法

ここでは、PIX Firewall の syslog との連携動作の管理方法について説明します。次の項目について説明します。

「syslog サーバに対するロギングのイネーブル化」

「syslog メッセージ レベルの変更」

「syslog メッセージのディセーブル化」

「修正されたメッセージ レベルの表示」

「アクセス コントロール リスト アクティビティのロギング」

「IDS syslog メッセージの管理」

syslog メッセージの番号およびほかの詳細情報については、『 Cisco PIX Firewall System Log Messages 』を参照してください。

syslog サーバに対するロギングのイネーブル化

ここでは、1 つ以上の syslog サーバに対してロギング メッセージをイネーブルにする方法を説明します。 メッセージのバッファ保存やコンソール表示、syslog メッセージに使用する転送の指定、ほかのさまざまなオプションについては、『Cisco PIX Firewall Command Reference』の logging コマンドのページを参照してください。

1 つ以上の syslog サーバを指定し、使用可能なさまざまなオプションを設定するには、logging コマンドを使用します。

ロギングをイネーブルまたはディセーブルにするには、次のコマンドを入力します。

logging on
no logging on
 

現在のロギング オプションを表示するには、次のコマンドを入力します。

show logging
 

PIX Firewall から送信されたメッセージを受信する syslog サーバを指定するには、次のコマンドを入力します。

logging host in_if_name ip_address [format {emblem}]
 

in_if_name には、syslog サーバがあるインターフェイスを指定します。 ip_address には、syslog サーバの IP アドレスを指定します。 複数の logging host コマンドを使用して追加のサーバを指定できます。

PIX Firewall Version 6.3 では、EMBLEM フォーマットがサポートされました。このフォーマットは CiscoWorks Resource Manager Essentials (RME) syslog アナライザを使用する場合に必要です。 指定したサーバに EMBLEM フォーマットでメッセージを送信するには、format emblem オプションを使用します。 このオプションは、RME syslog アナライザが使用する UDP syslog メッセージだけに使用できます。

PIX Firewall Version 6.2(3) では、syslog サーバに送信されるログ メッセージに固有のデバイス ID を定義できるようになりました。 このオプションをイネーブルにするには、次のコマンドを使用します。

logging device-id hostname | ipaddress if_name | string text
 

PIX Firewall のホスト名をデバイス ID として使用するには、hostname オプションを使用します。 特定のインターフェイスの IP アドレスをデバイス ID として使用するには、ipaddress オプションを使用します。 if_name には、nameif コマンドを使用して PIX Firewall のインターフェイスに割り当てた名前を指定します。 テキスト記述を入力するには、string オプションを使用します。 text には、最大 16 文字の文字列を指定します。スペースは指定できません。

この機能がイネーブルの場合、PIX Firewall は指定されたデバイス ID を EMBLEM フォーマット以外のすべての syslog メッセージに挿入します。 このコマンドは、EMBLEM フォーマットの syslog メッセージ テキストにも、PIX Firewall コンソールまたはログ ファイルに出力される内容にも影響を与えません。

この機能をディセーブルにするには、次のコマンドを使用します。

no logging device-id
 

syslog メッセージ レベルの変更

PIX Firewall Version 6.3 には、特定の syslog メッセージが発行されるレベルを修正するオプションと、特定の syslog メッセージをディセーブルにするオプションがあります。 旧バージョンの PIX Firewall では、メッセージ レベルを指定するか、特定の syslog サーバに対するすべてのメッセージをディセーブルにすることだけが可能です。

syslog ホストのロギング レベルを変更するには、次のコマンドを入力します。

pix(config)# logging host in_if_name ip_address message level levelid
 

すべての syslog サーバについてロギング レベルを変更するには、次のコマンドを入力します。

pix(config)# logging message level levelid
 

特定の syslog メッセージのレベルを変更するには、次のコマンドを入力します。

pix(config)# logging message syslogid level levelid
 

syslogid には、syslog メッセージに割り当てられた数値識別子を指定します。 levelid には、syslog レベルを表す次のいずれかの数値識別子またはテキスト識別子を指定します。

0--emergencies:システム使用不可メッセージ

1--alerts:即時アクションの開始

2--critical:クリティカルな状態

3--errors:エラー メッセージ

4--warnings:警告メッセージ

5--notifications:正常ではあるが重大な状態

6--informational:情報メッセージ

7--debugging:デバッグ メッセージ、および FTP コマンドと WWW URL の記録

たとえば、全体のロギング レベルを引き上げずに「denied by ACL」(106023)というメッセージを記録する場合は、次のコマンドで示すように特定の syslog レベルを critical に変更できます。

pix(config)# logging message 106023 level critical
 

特定のメッセージを対象にデフォルトの syslog レベルを復元するには、コマンドの前に no を指定します。 現在変更されている syslog メッセージをすべてデフォルトのレベルに復元するには、次のコマンドを入力します。

pix(config)# clear logging level
 

デフォルトで emergencies レベルはどの PIX Firewall syslog メッセージにも使用されていません。したがって、このレベルを使用すれば syslog メッセージを関心のあるメッセージに制限できます。 メッセージを制限するには、関心のあるメッセージのレベルを emergencies に変更します。

syslog メッセージのディセーブル化

特定の syslog メッセージをディセーブルにするには、次のコマンドを入力します。

no logging message messageid
 

特定のメッセージを再度イネーブルにするには、次のコマンドを入力します。

logging message messageid
 

ディセーブルになっているすべてのメッセージを再度イネーブルにするには、次のコマンドを入力します。

clear logging disabled
 

修正されたメッセージ レベルの表示

レベルが修正されたすべてのメッセージを表示するには、次のコマンドを入力します。

show logging level
 

特定メッセージのステータスを表示するには、次のコマンドを入力します。

show logging message syslogid
 

ディセーブルになっているメッセージを表示するには、次のコマンドを入力します。

show logging disabled
 

レベルが修正されたすべてのメッセージと、ディセーブルになっているすべてのメッセージを表示するには、次のコマンドを入力します。

show logging message
 

アクセス コントロール リスト アクティビティのロギング

ここでは、PIX Firewall Version 6.3 で導入されたロギング オプションについて説明します。このオプションを使用すると、指定時間内に ACL エントリによって許可または拒否されたフローの数を記録できます。次の項目について説明します。

「概要」

「コンフィギュレーション」

「ロギング動作」

「syslog メッセージのフォーマット」

概要

特定の ACL アクティビティについてロギングがイネーブルになっている場合、フローごとに統計情報が提供されます。 1 フローは、プロトコル、発信元 IP アドレス、ソース ポート、宛先 IP アドレス、宛先ポートによって定義します。 統計情報には、指定時間間隔内で ACL エントリによって許可または拒否されたフローの数が含まれます。

フローが許可または拒否された場合、そのフローがすでにシステムに存在するかどうかがチェックされます。 存在しない場合は、ヒット数が 1 として syslog 初期メッセージが生成されます。 その後フロー エントリが作成され、フローが許可または拒否されるたびにフローのヒット数は増加します。

フローが存在する場合は、設定可能な各間隔の最後に syslog メッセージが生成され、現在の期間におけるゼロ以外のフロー ヒット数が報告されます。 syslog メッセージの生成後、フローのヒット数は次の期間に備えて 0 にリセットされます。 その期間にヒットするものがない場合、フローは削除されて syslog メッセージは生成されません。

どの時点でも大量のフローが同時に存在する可能性があります。 メモリと CPU リソースが無制限に消費される事態を防ぐには、同時拒否フロー数に限度を設定します。 限度に到達すると、既存の拒否フローが期限満了になるまで新しい拒否フローは作成されません。

access-group コマンドで使用される ACL に新しいロギング オプションを設定しない場合は、古いロギング方式(拒否フローは syslog 106023)が有効のままになります。

コンフィギュレーション

特定の ACL アクティビティのロギングが適用されるのは、access-group コマンドを使用して設定した ACL だけです。そのため、PIX Firewall を介したトラフィックだけがロギングの対象です。 また、aaa authen match コマンドなどのセレクタを使用した ACL はロギングの対象外です。


注意 このオプションをイネーブルにするときは注意してください。DoS 攻撃が発生した場合、非常に大量の syslog メッセージが短期間に生成される可能性があるためです。

指定時間内に ACL エントリによって許可または拒否されたフロー数のロギングをイネーブルにするには、次のコマンドを使用します。

access-list acl_id [log [disable|default] | [level] [interval seconds]]
 

syslog メッセージ 106023 を含む log オプションを完全にディセーブルにするには、disable オプションを使用します。 デフォルトの ACL ロギング動作を復元するには、default オプションを使用します。デフォルトでは、パケットが拒否された場合に syslog メッセージ 106023 が生成されます。

level には、重大度を設定して ACL ログ メッセージに割り当てる数値識別子を指定します。 重大度を指定しない場合、デフォルト レベルは 6 (informational)です。

seconds には、ACL ロギング メッセージが生成された後の時間間隔を秒単位(1 ~ 600)で指定します。 これは、非アクティブ フローを削除するタイムアウト値でもあります。 間隔を指定しない場合、デフォルトは 300 秒です。

たとえば、暗黙拒否されたトラフィックにロギング オプションを適用するには、次のコマンドを入力します。

access-list acl_id deny ip any any [log .... ]
 

level または interval の値が異なる同じコマンドが繰り返された場合、新しい値は後続の新規フローから有効になります。 一方、既存のフローは影響を受けません。

作成可能な同時拒否フローの最大数を指定するには、次のコマンドを入力します。

access-list deny-flow-max num_of_flows
 

deny-flow-max キーワードは、作成可能な同時拒否フローの最大数を指定します。 このオプションに新しい値を指定するとただちに有効になります。

デフォルトは許可されるフローの最大数に設定されます。この値は、次に示すように PIX Firewall で使用できるメモリ量によって異なります。

64 MB 以上:最大値およびデフォルト値は 4096

16 MB 以上:最大値およびデフォルト値は 1024

16 MB 未満:最大値およびデフォルト値は 256

フローの最大数に到達すると、syslog メッセージ(106101)が生成されます。 デフォルトでは、このメッセージは 300 秒ごとに繰り返されます。この間隔を変更するには、次のコマンドを入力します。

access-list alert-interval secs
 

secs には、システムが別のメッセージを生成する前に待機する秒数を指定します。

アクセス コントロール エントリを削除する必要なしに log オプションをディセーブルにするには、 disable キーワードを使用します。次に例を示します。

access-list aclid deny ip any any log disable
 

log オプションがイネーブルの状態で no access-list コマンドを使用して ACE を削除する場合、すべての log オプションを指定する必要はありません。 log オプションがイネーブルの状態で ACE を削除しても、その ACE に関連するキャッシュされたフローはいっさい削除されません。 ただし、ACL を削除すると、その ACL に関連するキャッシュされたフローはすべて削除されます。

キャッシュされた ACL ログ フローの合計数、キャッシュされた拒否フロー数、および許容される拒否フローの最大数を表示するには、show access-list コマンドを使用します。 clear access-list コマンドは、キャッシュされたフローをすべて削除します。

ロギング動作

さまざまなタイプの IP トラフィックでは、動作に異なる部分があります。これは、既存の接続のないパケットだけがアクセス チェックの対象になるためです。 ここでは、さまざまなタイプのトラフィックについてロギング動作を要約します。次の項目について説明します。

「TCP の例」

「拒否の例」

「ログのない例」

この項の例は、次のコマンドを使用して設定された PIX Firewall の動作に基づいています。

access-group outside-acl in interface outside
... output abridged ...
access-list outside-acl permit ip host 1.1.1.1 any log 7 interval 600
access-list outside-acl permit ip host 2.2.2.2 any
access-list outside-acl deny ip any any log 2
 

TCP の例

1. 着信 TCP SYN パケット(1.1.1.1/12345 -> 192.168.1.1/1357)が外部インターフェイスに到達します。

2. パケットが、log オプションをイネーブルにした outside-acl アクセス リスト最初の ACE によって許可されます。

次の syslog メッセージが生成され、ログ フローがキャッシュされます。

106100: access-list outside-acl permitted tcp outside/1.1.1.1(12345) ->
inside/192.168.1.1(1357) hit-cnt 1 (first hit)
 

同時に、接続(1.1.1.1、12345、192.168.1.1、1357)が作成されます。これは show xlate または show conn コマンドを使用して表示できます。

3. この接続の 20 パケットが外部インターフェイスに到達します。 ただし、これらのパケットの接続はすでに存在するためアクセス チェックはバイパスされます。 そのため、キャッシュされたフローのヒット数は増加しません。

4. TCP 接続が終了し、1 分目の終わりで削除されます。

5. ステップ 1 ~ 4 が繰り返されますが、今回はログ フローがキャッシュされてヒット数は 0 から 1 に増加します。 TCP 接続が終了するたびにこれらのステップは繰り返されるので、ヒット数は 10 分目の最後で 9 になります。

6. ログ フローがキャッシュされた後、10 分目の最後で次の syslog メッセージが生成され、ログ フローのヒット数は 0 にリセットされます。

106100: access-list outside-acl permitted tcp outside/1.1.1.1(12345)->
inside/192.168.1.1(1357) hit-cnt 9 (300-second interval)
 

7. 次の 10 分以内に外部インターフェイスに到達した一致するパケットがないため、ログ フローのヒット数は 0 のままになります。

8. 20 分目の最後で、キャッシュされたフロー(TCP、1.1.1.1、12345、192.168.1.1、1357)は削除されます。これは、ヒット数が 0 のままであるためです。

拒否の例

1. 着信 TCP パケット(3.3.3.3/12345 -> 192.168.1.1/1357)が外部インターフェイスに到達します。

2. log オプションをログ レベル 2 でイネーブルにした outside-acl アクセス リスト最初の ACE によって、パケットが許可されます。

3. ログ フロー(TCP、3.3.3.3、12345、192.168.1.1、1357)はキャッシュされていないので、次の syslog メッセージが生成され、ログ フローがキャッシュされます。

106100: access-list outside-acl denied tcp outside/3.3.3.3(12345) ->
inside/192.168.1.1(1357) hit-cnt 1 (first hit)
 

4. 次の 5 分(300 秒)以内に、一致した 20 パケットが外部インターフェイスに到達します。 ログ フローはキャッシュされているため、ヒット数はパケットごとに増加します。

5. 5 分目の最後で次の syslog メッセージが生成され、ログ フローのヒット数は 0 にリセットされます。

106100: access-list outside-acl permitted tcp outside/3.3.3.3(12345)->
inside/192.168.1.1(1357) hit-cnt 20 (300-second interval)
 

6. 次の 5 分以内に外部インターフェイスに到達した一致するパケットはないため、ログ フローのヒット数は 0 のままになります。

7. 10 分目の最後で、キャッシュされたフロー(TCP、3.3.3.3、12345、192.168.1.1、1357)は削除されます。これは、ヒット数が 0 のままであるためです。

ログのない例

2.2.2.2 から 192.168.1.1 までの外部インターフェイスに到達したパケットは outside-acl の 2 番目の ACE によって許可されますが、log オプションは ACE に対してイネーブルではないため、ロギングは何もトリガーされません。

syslog メッセージのフォーマット

ACL エントリに対して生成されるメッセージで使用する、新しい syslog フォーマットを次に示します。

106100: access-list <acl_id> <grant> <prot> <intf/src_ip(src_port)> -> <intf/dst_ip(dest_port)> hit-cnt <nnn> (first hit|n-second interval)
 

表 9-5 に、このメッセージ フォーマットの各フィールドの意味を説明します。

表 9-5 ACL ロギングの syslog メッセージ フォーマット

フィールド
説明

<grant

フローが許可されているか、または拒否されているかを表示します。

<prot>

プロトコル タイプ(tcp、udp、icmp、または IP プロトコル番号)を表示します。

<intf>

ログ フローの発信元または宛先について、インターフェイス名を(nameif コマンドで設定したとおりに)表示します。 これは論理(VLAN)インターフェイスを含むことができます。

<src_ip>

ログ フローの発信元 IP アドレスを表示します。

<dst_ip>

ログ フローの宛先 IP アドレスを表示します。

<src_port>

ログ フローのソース ポートを表示します(tcp または udp)。 ICMP の場合、このフィールドは 0 です。

<dst_port>

ログ フローの宛先ポートを表示します(tcp または udp)。 ICMP の場合、このフィールドは icmp タイプです。

<nnn>

設定した時間間隔に、このフローが ACL エントリによって許可または拒否された回数を表示します。 最初の syslog メッセージがフローに生成されるときの値は 1 です。

first hit

このフローに生成された最初のメッセージを表示します。

n-second interval

ヒット数を累算する対象間隔を表示します。

IDS syslog メッセージの管理

PIX Firewall では、単一パケット(「 アトミック」 )の Cisco Intrusion Detection System (IDS)シグニチャ メッセージを、syslog を利用して一覧表示します。サポートされているメッセージのリストについては、『Cisco PIX Firewall System Log Messages 』を参照してください。次の Web サイトにアクセスすると、このマニュアルをオンラインで参照できます。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_63/syslog/index.htm

今回のリリースの PIX Firewall では、このメッセージがすべてサポートされているわけではありません。IDS syslog メッセージはすべて PIX-4-4000 nn で始まり、形式は次のとおりです。

%PIX-4-4000nn IDS:sig_num sig_msg from ip_addr to ip_addr on interface int_name
 

次に例を示します。

%PIX-4-400013 IDS:2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
%PIX-4-400032 IDS:4051 UDP Snork attack from 10.1.1.1 to 192.168.1.1 on interface outside
 

表 9-6 に、syslog の各出力パラメータの値と意味を示します。

 

表 9-6 syslog の出力値

syslog の値
意味
sig_num

シグニチャ番号。詳細については、『Cisco Secure Intrusion Detection System Version 2.2.1 User Guide』を参照してください。 次の Web サイトにアクセスすると、このマニュアルの「NSDB and Signatures」の章を参照できます。
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/
sigs.htm

sig_msg

シグニチャ メッセージ(NetRanger シグニチャ メッセージとほぼ同じです)。

ip_addr

シグニチャが適用されるローカル ツー リモート アドレス。

int_name

シグニチャが基づくインターフェイスの名前。

表 9-7 に、表示するメッセージを決定するコマンドの要約を示します。

 

 

表 9-7 syslog メッセージの制御コマンド

コマンド
結果
ip audit signature signature_number disable

グローバル ポリシーをシグニチャに適用します。シグニチャをディセーブルにするか、シグニチャを監査から除外するために使用されます。

no ip audit signature signature_number

ポリシーをシグニチャから削除します。シグニチャを再度イネーブルにするために使用されます。

show ip audit signature [ signature_number ]

ディセーブルにされたシグニチャを表示します。

ip audit info [ action [ alarm ] [ drop ] [ reset ]]

情報シグニチャに分類されるシグニチャに対して実行するデフォルトのアクションを指定します。alarm オプションは、パケットでシグニチャ照合が検出された場合に、PIX Firewall が設定されたすべての syslog サーバにそのイベントをレポートすることを示します。drop オプションは、違反パケットをドロップします。reset オプションは、違反パケットをドロップし、その接続がアクティブな接続の一部である場合は接続を閉じます。デフォルトの設定値は alarm です。イベントの応答を取り消すには、action オプションを付けずに ip audit info コマンドを指定します。

no ip audit info

情報と調査に分類されるシグニチャに対して実行するアクションを、デフォルトのアクションに設定します。

show ip audit info

デフォルトの情報アクションを表示します。

ip audit attack [ action [ alarm ] [ drop ] [ reset ]]

攻撃シグニチャに対して実行するデフォルトのアクションを指定します。action オプションについては前述のとおりです。

no ip audit attack

アタック シグニチャに対して実行するアクションを、デフォルトのアクションに設定します。

show ip audit attack

デフォルトの攻撃アクションを表示します。監査ポリシー(監査規則)は、一連のアクションと、インターフェイスに適用できるすべてのシグニチャの属性を定義します。監査ポリシーを使用して、ユーザは監査対象のトラフィックを制限したり、シグニチャ照合時に実行するアクションを指定できます。各監査ポリシーは名前で識別され、情報シグニチャまたは攻撃シグニチャ用に定義できます。各インターフェイスには、情報シグニチャと攻撃シグニチャにそれぞれ1つずつ合計 2 つのポリシーを設定できます。ポリシーをアクションなしで定義すると、設定済みのデフォルトのアクションが有効になります。各ポリシーには、それぞれ異なる名前が必要です。

ip audit name audit_name info [ action [ alarm ] [ drop ] [ reset ]]

ip audit signature コマンドでディセーブルにした、または除外されたシグニチャ以外のすべての情報シグニチャは、ポリシーの一部とみなされます。アクションについては前述のとおりです。

no ip audit name audit_name [ info ]

監査ポリシー audit_name を削除します。

ip audit name audit_name attack [ action [ alarm ] [ drop ] [ reset ]]

ip audit signature コマンドでディセーブルにした、または除外されたシグニチャ以外のすべてのアタック シグニチャは、ポリシーの一部とみなされます。アクションについては前述のとおりです。

no ip audit name audit_name [ attack ]

監査仕様 audit_name を削除します。

show ip audit name [ name [ info | attack ]]

すべての監査ポリシー、または名前やタイプで参照される特定のポリシーを表示します。

ip audit interface if_name audit_name

監査仕様または監査ポリシー( ip audit name コマンドを使用)をインターフェイスに適用します。

no ip audit interface [ if_name ]

ポリシーをインターフェイスから削除します。

show ip audit interface

インターフェイスのコンフィギュレーションを表示します。

SNMP の使用方法

ここでは、PIX Firewall を監視するために、ネットワーク管理システム(NMS)を使用して SNMP をイネーブルにする方法を説明します。次の項目について説明します。

「概要」

「MIB サポート」

「SNMP の CPU 使用率」

「SNMP の使用上の注意」

「SNMP トラップ」

「Cisco syslog MIB ファイルのコンパイル」

「Firewall と Memory Pool MIB の使用方法」

概要

snmp-server コマンドを使用することで、PIX Firewall から SNMP トラップを送信し、PIX Firewall をリモートで監視できます。SNMP トラップを受信するシステムを指定するには、snmp-server host コマンドを使用します。

利用できる PIX Firewall SNMP MIB-II グループは、System および Interfaces です。Cisco Firewall MIB と Cisco Memory Pool MIB も利用可能です。

SNMP値はすべて読み取り専用(RO)です。

SNMP を使用して、PIX Firewall のシステム イベントを監視できます。SNMP イベントを読み取ることはできますが、PIX Firewall 上の情報を SNMP によって変更することはできません。

SNMP 管理ステーションが利用できる PIX Firewall SNMP トラップは次のとおりです。

総称トラップ

リンク アップとリンク ダウン(インターフェイスに接続されているケーブルと接続されていないケーブル、動作中のインターフェイスに接続されているケーブルと動作していないインターフェイスに接続されているケーブル)

コールド スタート

認証障害(コミュニティ ストリングの不整合)

Cisco syslog MIB を介して送信されるセキュリティ関連イベント

グローバル アクセス拒否イベント

フェールオーバー syslog メッセージ

syslog メッセージ

SNMP トラップを受信して MIB を参照(ブラウジング)するには、CiscoWorks for Windows またはその他の SNMP V1、MIB-II 互換ブラウザを使用してください。SNMP トラップは UDP ポート 162 で発生します。

MIB サポート


) PIX Firewall は、Cisco syslog MIB の参照(ブラウジング)をサポートしていません。


MIB-II の System グループおよび Interface グループを参照できます。MIB の参照はトラップの送信とは異なります。参照とは、管理ステーションから MIB ツリーに対して snmpget または snmpwalk を実行して値を決定することです。

Cisco Firewall MIB と Cisco Memory Pool MIB が利用できます。

PIX Firewallは、Cisco Firewall MIB の次の項目をサポートしていません。

cfwSecurityNotification NOTIFICATION-TYPE

cfwContentInspectNotification NOTIFICATION-TYPE

cfwConnNotification NOTIFICATION-TYPE

cfwAccessNotification NOTIFICATION-TYPE

cfwAuthNotification NOTIFICATION-TYPE

cfwGenericNotification NOTIFICATION-TYPE

SNMP の CPU 使用率

PIX Firewall Version 6.2 以降では、SNMP を介した CPU の使用状況の監視がサポートされています。この機能によって、ネットワーク管理者は、SNMP 管理ソフトウェア(HP OpenView など)を使用して PIX Firewall の CPU 使用率を監視して、容量計画を立てることができます。

この機能は、Cisco Process MIB (CISCO-PROCESS-MIB.my)の cpmCPUTotalTable のサポートによって実装されています。 MIB のほかの 2 つのテーブル、cpmProcessTable と cpmProcessExtTable については、今回のリリースではサポートされていません。

cpmCPUTotalTable の各行は、次の 5 つの要素で構成されています。

各 CPU のインデックス


) 現在、PIX Firewall ハードウェア プラットフォームは、すべて単一の CPU をサポートしているため、PIX Firewall が cpmCPUTotalTable から返すのは 1 行だけで、インデックスは常に 1 になります。


このエントリの CPU 統計は、物理エンティティの entPhysicalIndex に保持されます(Entity MIB のentPhysicalTable は PIX Firewall SNMP エージェントではサポートされていないため、このオブジェクトの値はゼロになります)。

最終 5 秒間の合計 CPU 使用率

最終 1 分間の合計 CPU 使用率

最終 5 分間の合計 CPU 使用率

最後の 3 つの要素の値は、 show cpu usage コマンドの出力と同じです。

 

表 9-8 CPU 使用率の MIB 変数

MIB オブジェクト名
説明

cpmCPUTotalIndex

PIX Firewall SNMP エージェントでは、Entity MIB の entPhysicalTable がサポートされていないため、このオブジェクトの値はゼロになります。

cpmCPUTotalPhysicalIndex

PIX Firewall SNMP エージェントでは、Entity MIB の entPhysicalTable がサポートされていないため、このオブジェクトの値はゼロになります。

cpmCPUTotal5sec

最終 5 秒間の合計 CPU 使用率。

cpmCPUTotal1min

最終 1 分間の合計 CPU 使用率。

cpmCPUTotal5min

最終 5 分間の合計 CPU 使用率。

PIX Firewall は、次の cpmCPUTotalTable の新しい MIB オブジェクトはサポートしていません。

cpmCPUTotal5secRev

cpmCPUTotal1minRev

cpmCPUTotal5minRev

SNMP の使用上の注意

MIB-II ifEntry.ifAdminStatus オブジェクトは、インターフェイスがアップしている場合には 1 を、管理上ダウンしている場合には 2 を返します。

SNMP "ifOutUcastPkts" オブジェクトは現在、発信パケット カウントを正しく返すようになっています。

SNMP モジュールの生成する syslog メッセージは現在、インターフェイス番号ではなく、インターフェイス名を指定するようになっています。

SNMP トラップ

トラップとは、参照(ブラウジング)とは異なり、リンク アップ、リンク ダウン、生成された syslog イベントなど特定のイベントについて、管理対象装置から管理ステーションに一方的に送信される「コメント」です。

PIX Firewall の SNMP オブジェクト ID (OID)が、PIX Firewall から送信された SNMP イベント トラップに表示されます。PIX Firewall は、ハードウェア プラットフォームに基づいて、SNMP イベント トラップ中のシステム OID と、SNMP mib-2.system.sysObjectID 変数を提供します。

表 9-9 は、PIX Firewall プラットフォームのシステム OID の一覧です。

 

表 9-9 PIX Firewall プラットフォームのシステム OID

PIX Firewall プラットフォーム
システム OID

PIX 506

.1.3.6.1.4.1.9.1.389

PIX 506E

.1.3.6.1.4.1.9.1.450

PIX 515

.1.3.6.1.4.1.9.1.390

PIX 515E

.1.3.6.1.4.1.9.1.451

PIX 520

.1.3.6.1.4.1.9.1.391

PIX 525

.1.3.6.1.4.1.9.1.392

PIX 535

.1.3.6.1.4.1.9.1.393

その他

.1.3.6.1.4.1.9.1.227 (元の PIX Firewall OID)

PIX Firewall 上で稼動する SNMP サービスは、2 つの機能を実行します。

管理ステーション(SNMP クライアントとも呼ばれる)からの SNMP要求に応答。

PIX Firewall からトラップを受信するように登録されている管理ステーションなどのデバイスに対するトラップ(イベント通知)の送信。PIX Firewallは、総称トラップと syslog トラップの 2 タイプのトラップをサポートします。

要求の受信と syslog トラップの送信

次の手順を実行して、要求を受信し、PIX Firewall から SNMP 管理ステーションへトラップを送信します。


ステップ 1 snmp-server host コマンドで、SNMP 管理ステーションの IP アドレスを指定します。

ステップ 2 必要に応じて、location、contact、community パスワードの snmp-server オプションを設定します。

コールド スタート、リンク アップ、およびリンク ダウンの総称トラップだけを送信する場合、これ以降の設定は不要です。

SNMP 要求を受信するだけの場合も同様に、以降の設定は必要ありません。

ステップ 3 snmp-server enable traps コマンド文を追加します。

ステップ 4 次の例のように、logging history コマンドを使用して、ロギング レベルを設定します。

logging history debugging
 

debugging レベルを使用するのは、初期セットアップ時とテスト時だけにしてください。セットアップまたはテストの終了後は、レベルをdebugging からそれより低い値に変更して、実際の動作環境に移行してください。

logging history コマンドは、SNMP syslog メッセージに重大度レベルを設定します。

ステップ 5 logging on コマンドで、syslog トラップを管理ステーションに送信します。

ステップ 6 syslog トラップの送信を中止するには、 no logging on コマンドまたは no snmp-server enable traps コマンドを使用します。


 

例9-11のコマンドは、PIX Firewall が内部インターフェイスのホスト 192.168.3.2 から SNMP 要求を受信すること、および SNMP syslog トラップをホストへ送信しないことを指定します。

例9-11 SNMP のイネーブル化

snmp-server host 192.168.3.2
snmp-server location building 42
snmp-server contact kim lee
snmp-server community ohwhatakeyisthee
 

location コマンドおよび contact コマンドは、ホストの位置と管理者を指定します。community コマンドは、PIX Firewall SNMP エージェントと SNMP 管理ステーションの間のネットワークでアクセスを確認するために使用するパスワードを指定します。

Cisco syslog MIB ファイルのコンパイル

PIX Firewall からセキュリティおよびフェールオーバーの SNMP トラップを受信するには、Cisco SMI MIB と Cisco syslog MIB をコンパイルして、SNMP 管理アプリケーションに組み込みます。Cisco syslog MIB をアプリケーションに組み込んでいない場合に受信できるのは、リンク アップ、リンク ダウン、ファイアウォールのコールド スタート、および認証の失敗についてのトラップだけです。

PIX Firewall とその他のシスコ製品の Cisco MIB ファイルは、次の Web サイトから選択できます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

このページの Cisco Secure & VPN 選択リストから、 PIX Firewall を選択してください。

次の手順を実行して、CiscoWorks for Windows (SNMPc)を使用し、Cisco syslog MIB ファイルをコンパイルして自分のブラウザに組み込みます。


ステップ 1 Cisco syslog MIB ファイルを入手します。

ステップ 2 SNMPc を起動します。

ステップ 3 Config>Compile MIB を選択します。

ステップ 4 リストの最後までスクロールし、最終エントリを選択します。

ステップ 5 Add をクリックします。

ステップ 6 Ciscosyslog MIB ファイルを見つけます。


) アプリケーションによっては、.mib 拡張子のファイルだけが、SNMPc のファイル選択ウィンドウに表示されます。このため、.my 拡張子の Cisco syslog MIB ファイルは表示されません。この場合には、.my 拡張子を手動で.mib 拡張子に変更してください。


ステップ 7 CISCO-FIREWALL-MIB.my(CISCO-FIREWALL-MIB.mib)をクリックし、OK をクリックします。

ステップ 8 リストの最後までスクロールし、最終エントリを選択します。

ステップ 9 Add をクリックします。

ステップ 10 CISCO-MEMORY-POOL-MIB.my(CISCO-MEMORY-POOL-MIB.mib)ファイルを検索し、OK をクリックします。

ステップ 11 リストの最後までスクロールし、最終エントリを選択します。

ステップ 12 Add をクリックします。

ステップ 13 CISCO-SMI.my(CISCO-SMI.mib)ファイルを検索し、OK をクリックします。

ステップ 14 リストの最後までスクロールし、最終エントリを選択します。

ステップ 15 Add をクリックします。

ステップ 16 CISCO-SYSLOG-MIB.my(CISCO-SYSLOG-MIB.mib)ファイルを検索し、OK をクリックします。

ステップ 17 Load All をクリックします。

ステップ 18 エラーが生じていなければ、SNMPc を再起動します。


) これらの手順が適用されるのは、SNMPc (CiscoWorks for Windows)を使用する場合だけです。



 

Firewall と Memory Pool MIB の使用方法

Cisco Firewall と Memory Pool MIB によって、フェールオーバーおよびシステムの各ステータスをポーリングできます。

ここでは、次の項目について説明します。

「ipAddrTable に関する注意」

「フェールオーバー ステータスの表示」

「メモリ使用率の確認」

「接続数の表示」

「システム バッファの使用率の表示」

各項の表では、それぞれ返される値の意味をカッコで囲んで示しています。

ipAddrTable に関する注意

SNMP ip.ipAddrTable エントリを使用するには、すべてのインターフェイスに一意のアドレスが設定されていることが必要です。インターフェイスに IP アドレスが割り当てられていない場合、デフォルトでその IP アドレスはすべて 127.0.0.1 に設定されます。IP アドレスが重複していると、SNMP 管理ステーションは無限ループに入ります。これに対処するために各インターフェイスには異なるアドレスを割り当てます。たとえば、1 つのアドレスを 127.0.0.1 に、別のアドレスを 127.0.0.2 に設定します。

SNMP は GetNex 操作のシーケンスを使用して、MIB ツリーを横に移動します。各 GetNext 要求は1つ前の要求の結果に基づきます。したがって、2 つの連続したインターフェイスが同じ IP アドレス 127.0.0.1 (テーブル インデックス)を持っている場合、GetNext 関数は 127.0.0.1 を返します。

次に例を示します。

GetNext(ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1)
 

SNMP プロトコルでは、MIB テーブル インデックスは、エージェントが MIB テーブルの行を識別するために一意である必要があります。ip.ipAddrTable のテーブル インデックスは PIX Firewall インターフェイスの IP アドレスであるため、その IP アドレスは一意でである必要があります。一意でない場合、SNMP エージェントは混乱し、同じ IP アドレス(インデックス)を持つ別のインターフェイス(行)の情報を返す可能性があります。

フェールオーバー ステータスの表示

Cisco Firewall MIB の cfsHardwareStatusTable を使用すると、フェールオーバーがイネーブルかどうか、またどの装置がアクティブであるかを判別できます。Cisco Firewall MIB は、
cfwHardwareStatusTable オブジェクトの 2 つの行によってフェールオーバー ステータスを示します。PIX Firewall コマンド ラインから、 show failover コマンドを使用して、フェールオーバー ステータスを表示できます。オブジェクト テーブルには、次のパスからアクセスできます。

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatus.cfwHardwareStatusTable
 

表 9-10 に、フェールオーバー情報を提供するオブジェクトを示します。

 

表 9-10 フェールオーバー ステータスのオブジェクト

オブジェクト
オブジェクト
タイプ
行 1:フェールオーバーがディセーブルのときに返される
行 1:フェールオーバーがイネーブルのときに返される
行 2:フェールオーバーがイネーブルのときに返される

cfwHardwareType
(テーブル インデックス)

ハードウェア

6 (プライマリ装置の場合)

6 (プライマリ装置の場合)

7 (セカンダリ装置の場合)

cfwHardwareInformation

SnmpAdminString

空白

空白

空白

cfwHardwareStatusValue

HardwareStatus

0 (未使用)

active または 9 (アクティブ装置の場合)あるいは standby または 10 (スタンバイ装置の場合)

active または 9 (アクティブ装置の場合)あるいは standby または 10 (スタンバイ装置の場合)

cfwHardwareStatusDetail

SnmpAdminString

Failover Off

空白

空白

 

HP OpenView Browse MIB アプリケーションの「MIB values」ウィンドウには、フェールオーバーがディセーブルの場合に、MIB クエリーの例を使用すると、次のような情報が表示されます。

cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6 :0
cfwHardwareStatusValue.7 :0
cfwHardwareStatusDetail.6 :Failover Off
cfwHardwareStatusDetail.7 :Failover Off
 

このリストでは、テーブル インデックス cfwHardwareType(.6 または .7)が各オブジェクトの後ろに表示されます。cfwHardwareInformation フィールドは空白、cfwHardwareStatusValue は 0、
cfwHardwareStatusDetail はフェールオーバー ステータスを示す Failover Off です。

フェールオーバーがイネーブルの場合に、MIB クエリーの例を使用すると、次の情報が表示されます。

cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6 : active
cfwHardwareStatusValue.7 : standby
cfwHardwareStatusDetail.6 :
cfwHardwareStatusDetail.7 :
 

このリストでは、cfwHardwareStatusValue だけに active または standby の値が含まれ、各装置のステータスを示します。

メモリ使用率の確認

Cisco Memory Pool MIB に関して使用可能な空きメモリの容量を確認できます。メモリの使用率は、PIX Firewall コマンド ラインから show memory コマンドを使用して表示します。次に、show memory コマンドの出力例を示します。

pix(config)# show memory
Free memory: 16751592 bytes
Used memory: 16802840 bytes
------------- ----------------
Total memory: 33554432 bytes
 

この MIB オブジェクトには、次のパスからアクセスできます。

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoMemoryPoolMIB.
ciscoMemoryPoolObjects.ciscoMemoryPoolTable
 

表 9-11 に、メモリ使用率の情報を提供するオブジェクトを示します。

 

表 9-11 メモリ使用率のオブジェクト

オブジェクト
オブジェクト タイプ
返される値

ciscoMemoryPoolType
(テーブル インデックス)

CiscoMemoryPoolTypes

1 (プロセッサ メモリ)

ciscoMemoryPoolName

DisplayString

PIX システム メモリ

ciscoMemoryPoolAlternate

Integer32

0 (代替メモリ プールなし)

ciscoMemoryPoolValid

TruthValue

true (残りのオブジェクトの値がイネーブルであることを示す)

ciscoMemoryPoolUsed

Gauge32

integer (現在使用中のバイト数)

ciscoMemoryPoolFree

Gauge32

integer (現在空いているバイト数)

ciscoMemoryPoolLargestFree

Gauge32

integer (現在最も空いているバイト数)

HP OpenView Browse MIB アプリケーションの「MIB values」ウィンドウには、MIB クエリーの例を使用すると、次のような情報が表示されます。

ciscoMemoryPoolName.1 :PIX system memory
ciscoMemoryPoolAlternate.1 :0
ciscoMemoryPoolValid.1 :true
ciscoMemoryPoolUsed.1 :12312576
ciscoMemoryPoolFree.1 :54796288
ciscoMemoryPoolLargestFree.1 :0
 

このリストでは、テーブル インデックス ciscoMemoryPoolName (.1)が各オブジェクト値の後ろに表示されます。ciscoMemoryPoolUsed オブジェクトは、現在使用中のバイト数である 12312576 を、
ciscoMemoryPoolFree オブジェクトは、現在空いているバイト数である 54796288 をそれぞれ示し、ほかのオブジェクトは常に 表 9-11 に示された値を示します。

接続数の表示

使用中の接続の数を Cisco Firewall MIB の cfwConnectionStatTable から表示できます。PIX Firewall コマンド ラインから、 show conn コマンドを使用して接続数を表示できます。次の出力は、
cfwConnectionStatTable 内の情報の発生元を明らかにするために show conn コマンドを使用した場合の例です。

pix(config)# show conn
15 in use, 88 most used
 

cfwConnectionStatTable オブジェクト テーブルは、次のパスからアクセスできます。

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwConnectionStatTable
 

表 9-12 に、接続数の情報を提供するオブジェクトを示します。

 

表 9-12 接続数のオブジェクト

オブジェクト
オブジェクト タイプ
行 1:返される値
行 2:返される値

cfwConnectionStatService
(テーブル インデックス)

サービス

40 (IP プロトコル)

40 (IP プロトコル)

cfwConnectionStatType
(テーブル インデックス)

ConnectionStat

6 (現在使用中の接続)

7 (高)

cfwConnectionStatDescription

SnmpAdminString

ファイアウォール全体で現在使われている接続の数

システム起動後の任意の時点で使われる接続の最大数

cfwConnectionStatCount

Counter32

0 (未使用)

0 (未使用)

cfwConnectionStatValue

Gauge32

integer (使用中の接続数)

integer (使用中の接続の最大数)

 

HP OpenView Browse MIB アプリケーションの「MIB values」ウィンドウには、MIB クエリーの例を使用すると、次のような情報が表示されます。

cfwConnectionStatDescription.40.6 :number of connections currently in use by the entire firewall
cfwConnectionStatDescription.40.7 :highest number of connections in use at any one time since system startup
cfwConnectionStatCount.40.6 :0
cfwConnectionStatCount.40.7 :0
cfwConnectionStatValue.40.6 :15
cfwConnectionStatValue.40.7 :88
 

このリストでは、テーブル インデックス cfwConnectionStatService( .40 )が各オブジェクトの後ろに表示され、テーブル インデックス cfwConnectionStatType が、使用中の接続数を示す .6 、あるいは接続の最大使用数を示す .7 として表示されます。cfwConnectionStatValue オブジェクトは接続数を示します。cfwConnectionStatCount オブジェクトは常に 0 (ゼロ)を返します。

システム バッファの使用率の表示

システム バッファの使用率を Cisco Firewall MIB の cfwBufferStatsTable の複数行から表示できます。システム バッファの使用率を表示することによって、PIX Firewall がそのキャパシティの限界に近づきつつあることを早期警告として知ることができます。コマンド ライン上で、 show blocks コマンドを使用して、この情報を表示できます。次の出力例は、cfwBufferStatsTable の作成方法を説明するために、show blocks コマンドを使用した場合のものです。

show blocks
SIZE MAX LOW CNT
4 1600 1600 1600
80 100 97 97
256 80 79 79
1550 780 402 404
65536 8 8 8
 

cfwBufferStatsTable は、次のパスで表示できます。

.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwBufferStatsTable
 

表 9-13 に、システム ブロックの使用率表示に必要なオブジェクトを示します。

 

表 9-13 システム ブロック使用率のオブジェクト

オブジェクト
オブジェクト タイプ
最初の行:返される値
次の行:返される値
次の行:返される値

cfwBufferStatSize
(テーブル インデックス)

Unsigned32

integer (SIZE 値、たとえば、1 つの 4 バイト ブロックでは 4

integer (SIZE 値、たとえば、1 つの 4 バイト ブロックでは 4

integer (SIZE 値、たとえば、1 つの 4 バイト ブロックでは 4

cfwBufferStatType
(テーブル インデックス)

ResourceStatistics

3 (MAX)

5 (LOW)

8 (CNT)

cfwBufferStatInformation

SnmpAdminString

割り当てられた
integer バイト ブロックの最大数 integer は 1 ブロック中のバイト数です)

システムの起動以後に利用可能な 最小の integer バイト ブロック integer は 1 ブロック中のバイト数です)

現在利用可能な
integer バイト ブロックの数 integer は 1 ブロック中のバイト数です)

cfwBufferStatValue

Gauge32

integer (MAX 値)

integer (LOW 値)

integer (CNT 値)

 


) show blocks コマンドによって出力されるリストには、1 ブロック サイズごとに 3 つの行が繰り返し表示されます。


HP OpenView Browse MIB アプリケーションの「MIB values」ウィンドウには、MIB クエリーの例を使用すると、次のような情報が表示されます。

cfwBufferStatInformation.4.3 :maximum number of allocated 4 byte blocks
cfwBufferStatInformation.4.5 :fewest 4 byte blocks available since system startup
cfwBufferStatInformation.4.8 :current number of available 4 byte blocks
cfwBufferStatInformation.80.3 :maximum number of allocated 80 byte blocks
cfwBufferStatInformation.80.5 fewest 80 byte blocks available since system startup
cfwBufferStatInformation.80.8 :current number of available 80 byte blocks
cfwBufferStatInformation.256.3 :maximum number of allocated 256 byte blocks
cfwBufferStatInformation.256.5 :fewest 256 byte blocks available since system startup
cfwBufferStatInformation.256.8 :current number of available 256 byte blocks
cfwBufferStatInformation.1550.3 :maximum number of allocated 1550 byte blocks
cfwBufferStatInformation.1550.5 :fewest 1550 byte blocks available since system startup
cfwBufferStatInformation.1550.8 :current number of available 1550 byte blocks
cfwBufferStatValue.4.3: 1600
cfwBufferStatValue.4.5: 1600
cfwBufferStatValue.4.8: 1600
cfwBufferStatValue.80.3: 400
cfwBufferStatValue.80.5: 396
cfwBufferStatValue.80.8: 400
cfwBufferStatValue.256.3: 1000
cfwBufferStatValue.256.5: 997
cfwBufferStatValue.256.8: 999
cfwBufferStatValue.1550.3: 1444
cfwBufferStatValue.1550.5: 928
cfwBufferStatValue.1550.8: 932
 

このリストでは、1 番目のテーブル インデックスである cfwBufferStatSize ( .4 .256 など)が、各オブジェクトの後ろに、最初の数字として表示されます。もう1つのテーブル インデックスである cfwBufferStatType( .3 .5 .8 など)は、cfwBufferStatSize の後ろに表示されます。各ブロック サイズごとに、cfwBufferStatInformation オブジェクトは値の種類を示し、cfwBufferStatValue オブジェクトは各値のバイト数を示します。