Cisco Secure ACS Solution Engine ユーザ ガイド Release 4.1
概要
概要
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

概要

ACS の概要

ネットワーク アドミッション コントロール(NAC)

Identity-Based Networking Services(IBNS)

ACS の機能と概念

AAA サーバとしての ACS

AAA プロトコル:TACACS+ と RADIUS

TACACS+

RADIUS

プラットフォーム

このリリースの追加機能

認証

認証方法の検討

認証とユーザ データベース

認証プロトコルとデータベースの互換性

パスワード

EAP のサポート

認証に関連するその他の機能

認可

最大セッション数

ダイナミックな使用割当量

共有プロファイル コンポーネント

Cisco デバイス管理アプリケーションのサポート

認可に関連するその他の機能

アカウンティング

アカウンティングに関連するその他の機能

ACS の管理

Web インターフェイスのセキュリティ

Cisco Security Agent の統合 (ACS Solution Engine のみ)

Cisco Security Agent のサービス管理

Cisco Security Agent のロギング

Cisco Security Agent の制限

Cisco Security Agent のポリシー

管理セッション用の HTTP ポートの割り当て

Web インターフェイスのレイアウト

Web インターフェイス用の URL

オンライン ヘルプとオンライン マニュアル

オンライン ヘルプの使用方法

オンライン ユーザ ガイドの使用方法

ACS の仕様

システム パフォーマンス仕様

ACS Windows サービス

オンライン マニュアル リファレンス

関連マニュアル

TACACS+ 関連マニュアル

ネットワーク アドミッション コントロール(NAC)関連マニュアル

Requests for Comments(RFC)

テクノロジーに関するホワイト ペーパー

質問と回答のページ

チュートリアル

ソフトウェアのダウンロード

概要

この章では、Cisco Secure Access Control Server Release 4.1(以降は ACS と表記)の概要を説明します。

この章は、次の内容で構成されています。

「ACS の概要」

「ACS の機能と概念」

「ACS の管理」

「ACS の仕様」

「オンライン マニュアル リファレンス」

「関連マニュアル」

ACS の概要

ACS は、パフォーマンスとスケーラビリティに優れた Remote Access Dial-In User Service(RADIUS)であると同時に、Terminal Access Controller Access Control System(TACACS+; ターミナル アクセス コントローラ アクセス コントロール システム)セキュリティ サーバです。企業ネットワークのすべてのユーザ、管理者、およびネットワーク インフラストラクチャ リソースの統合と制御を行います。ACS は、シスコのインテリジェント インフォメーション ネットワークに、包括的なアイデンティティ ネットワークアクセス コントロール ソリューションを提供します。

ACS では、従来の認証、認可、アカウンティング(AAA:読み方は「トリプル A」)とポリシー コントロールを併用することによって、ネットワークアクセス セキュリティを強化しています。またネットワーク管理者や他のネットワーク ユーザに対し、均一なネットワークアクセス セキュリティを適用します。

ACS は、次のようなシスコおよび他社のさまざまなネットワークアクセス デバイス(NAD)製品をサポートします。NAD は、AAA クライアントとも呼ばれます。

有線および無線 LAN スイッチおよびアクセス ポイント

エッジ ルータおよびコア ルータ

ダイヤルアップ ターミネータおよびブロードバンド ターミネータ

コンテンツ デバイスおよびストレージ デバイス

Voice over IP (VoIP)

ファイアウォール

バーチャル プライベート ネットワーク(VPN)

図1-1 に、従来のネットワーク アクセス コントロール/AAA サーバの役割を示します。

図1-1 単純な AAA のシナリオ

 

ネットワーク アドミッション コントロール(NAC)

ACS は、Cisco Network Admission Control(NAC)フレームワークの重要なコンポーネントです。Cisco NAC は、シスコシステムズが推進する業界のイニシアティブで、ネットワーク インフラストラクチャを使用して、ネットワーク コンピューティング リソースにアクセスするすべてのマシンにセキュリティ ポリシーを適用することによって、ウイルスやワームによる被害を最小限に食い止めます。NAC を使用すると、セキュリティ ポリシーに準拠した信頼できる PC に対してだけネットワーク アクセスを許可し、不適合なデバイスのアクセスを制限できます。図1-2 を参照してください。

図1-2 NAC の ACS 拡張

 

Identity-Based Networking Services(IBNS)

ACS は、Cisco Identity-Based Networking Services(IBNS)アーキテクチャの重要なコンポーネントでもあります。Cisco IBNS は、Extensible Authentication Protocol(EAP)および IEEE 802.1x(ポートベースのネットワークアクセス コントロールの標準)などのポートセキュリティ標準に基づいており、従来はネットワーク境界で管理されていたセキュリティ認証、認可、アカウンティングを、LAN 内のすべての接続ポイントまで拡張しました。シスコ スイッチと無線アクセス ポイントが RADIUS プロトコルを介して ACS にクエリーを行うという拡張機能により、ユーザごとのリソース割り当て制限、仮想 LAN(VLAN)割り当て、およびアクセス コントロール リスト(ACL)などの新しいポリシー コントロールを導入できます。

ACS の機能と概念

ACS には、AAA サービスをネットワークアクセス デバイスに適用し、集中アクセスコントロール機能を提供するための多くのテクノロジーが組み込まれています。

この項では、次のトピックについて取り上げます。

「AAA サーバとしての ACS」

「AAA プロトコル:TACACS+ と RADIUS」

「このリリースの追加機能」

「認証」

「認可」

「アカウンティング」

AAA サーバとしての ACS

ACS は、1 台以上の NAD の AAA サーバとして機能します。NAD は、ACS サーバの AAA クライアントです。エンドユーザからホストへのアクセス要求を TACACS+ または RADIUS プロトコルを使用して ACS に送信するように、クライアント NAD をそれぞれ設定する必要があります。

TACACS+ は、従来から、ネットワーク インフラストラクチャ自体の上でネットワーク管理操作を行う認可を与えるために使用されるプロトコルです。一方、RADIUS は、エンドユーザからネットワーク リソースへのアクセスを保護するために、広く一般に使用されています。

NAD は、基本的にはネットワークのゲートキーパーとして機能し、ユーザの代理としてアクセス要求を ACS に送信します。ACS は、その内部データベースを使用するか、あらかじめ設定されている外部アイデンティティ ディレクトリのいずれかを使用して、ユーザ名、パスワード、および必要に応じてその他のデータを確認します。ACS は、最終的に NAD に対して、access denied または access-accept メッセージと一連の認可アトリビュートによって応答します。ACS を NAC アーキテクチャのコンテキストで使用すると、ユーザがネットワークへのアクセスを許可される前に、 ポスチャ と呼ばれるその他のマシン データも確認されます。

AAA プロトコル:TACACS+ と RADIUS

ACS は、TACACS+ AAA プロトコルと RADIUS AAA プロトコルを使用できます。

表1-1 に、この 2 つのプロトコルの比較を示します。

 

表1-1 TACACS+ プロトコルと RADIUS プロトコルの比較

比較項目
TACACS+
RADIUS

伝送プロトコル

TCP:コネクション型トランスポート層プロトコル、信頼性の高い全二重データ伝送

UDP:コネクションレス型トランスポート層プロトコル、確認応答も配送保証もないデータグラム交換

使用されるポート

49

認証および認可:1645 および 1812
アカウンティング:1646 および 1813

暗号化

完全なパケット暗号化

16 バイト以下のパスワードに限り暗号化

AAA アーキテクチャ

認証、認可、アカウンティングの各サービスを独立制御

認証および認可を 1 つのサービスとして統合

利用目的

デバイスの管理

ユーザ アクセスの制御

TACACS+

ACS は、シスコシステムズがドラフト 1.78 に定義している TACACS+ プロトコルに準拠しています。詳細については、Cisco IOS ソフトウェアのマニュアルまたは http://www.cisco.com を参照してください。

RADIUS

ACS は、1997 年 4 月発行のドラフトおよび次の Requests for Comments(RFC)に定義されている RADIUS プロトコルに準拠しています。

RFC 2138, Remote Authentication Dial In User Service

RFC 2139, RADIUS Accounting

RFC 2284

RFC 2865

RFC 2866

RFC 2867

RFC 2868

RFC 2869

認証およびアカウンティングに使用されるポートが、RADIUS RFC 文書では変わっています。新旧の RFC をサポートするために、ACS は認証の要求をポート 1645 およびポート 1812 で受け入れます。アカウンティングについては、アカウンティング パケットをポート 1646 および 1813 で受け入れます。

標準 Internet Engineering Task Force(IETF)RADIUS アトリビュート以外に、ACS は RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)もサポートします。次の RADIUS VSA は、ACS で定義済みです。

Cisco Building Broadband Service Manager(BBSM)

Cisco IOS/PIX 6.0

Cisco VPN 3000/ASA/PIX 7.x+

Cisco VPN 5000

Cisco Airespace

Ascend

Juniper

Microsoft

Nortel

ACS では、最大 10 の RADIUS VSA のユーザ定義が可能です。新しく定義した RADIUS VSA は、ACS で定義済みの RADIUS VSA と同様に使用できます。ACS Web インターフェイスの Network Configuration セクションで AAA クライアントを設定して、ユーザ定義の RADIUS VSA を AAA プロトコルとして使用できます。Interface Configuration セクションでは、ユーザ レベルおよびグローバル レベルのアトリビュートを、ユーザ定義の RADIUS VSA 用にイネーブルにできます。User Setup および Group Setup セクションでは、ユーザ定義の RADIUS VSA の使用可能なアトリビュートに値を設定できます。

ユーザ定義の RADIUS VSA の作成方法については、「カスタム RADIUS ベンダーと VSA」を参照してください。

プラットフォーム

ACS は ACS for Windows と ACS Solution Engine の 2 つのプラットフォームで使用できます。ACS for Windows は、ソフトウェア プラットフォームです。また、Solution Engine は、ネットワーク アプライアンスが必要なハードウェアおよびソフトウェア プラットフォームです。

これらのプラットフォームはほとんど同じです。ただし、Open Database Connectivity(ODBC; 開放型データベース接続)データベースおよび CSUtil.exe データベース ユーティリティをサポートしているのは Windows だけです。Solution Engine のサポートには、リモート エージェント、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)、File Transfer Protocol(FTP; ファイル転送プロトコル)サーバ、シリアル コンソール、および Cisco Security Agent などが含まれます。これらは Windows では不要です。

このマニュアルでは、一方のプラットフォームだけに関する情報を「ACS for Windows のみ」または「ACS Solution Engine のみ」と区別しています。このような表記がない場合は、両方のプラットフォームに共通の情報です。

このリリースの追加機能

ACS のこのリリースでは、次の機能によって、ネットワーク化されたビジネス システムを保護します。

適合認定サポートの強化: このリリースでは、新しい ACS 管理者権限を使用し、パスワードの管理および適合認定(Sarbanes-Oxley(SOX)など)の監査レポートを強化します。ACS には、次の機能が搭載されています。

認証

管理者のパスワードを定期的に変更させる

パスワードの構造ポリシーを適用する

非アクティブなアカウントに対して管理者のパスワードを変更させる

パスワードの再利用を避ける(パスワード履歴)

非アクティブになった場合に管理者アカウントを無効にする

ログインに失敗した後に管理者アカウントを無効にする

ACS 管理者に自分のパスワードの変更を許可する

監査とレポート

既存のロギング ターゲットに加えて、syslog によってすべての管理作業を記録する

特定の監査ロギングがディセーブルにならないように、管理者がログ ファイル設定にアクセスするのを制御する

管理者特権のためのレポートを新たに追加する

許可: ユーザおよびグループに読み取り専用特権を与える

MAC Authentication Bypass の外部データベース サポート :このリリースでは、外部 LDAP サーバで MAC アドレス リストの保守を行い、MAC アドレスをユーザ グループにマッピングするための機能が追加されました。

診断およびエラー メッセージの改善 :このリリースでは、HCAP および GAME サーバとの認証不一致に関する診断情報が改善されました。GAME および HCAP メッセージの未加工ダンプは読みやすい形式になり、認証障害コードはより直観的になりました。

PEAP および EAP-TLS のサポート :このリリースでは、プロトコルの拡張機能として認証者側の PEAP および EAP-TLS をサポートしています。これにより、ACS では、フェーズ 2 内部方式に EAP-TLS を使用して PEAP でクライアントを認証できるようになります。また、証明書ベースの認証が ID 情報を暗号化する安全なトンネル内で実行されるようになります。通常、EAP-TLS はクライアント側の認証証明書に依存するため、PEAP トンネルはクライアントの証明書の内容を保護します。

ロギングおよびレポートの拡張機能 :このリリースでは、ロギングの新しい内部メカニズムを追加して、安定したログ レベルと高度なパフォーマンスを実現しました。syslog がサポートされており、syslog 標準に対応したリモート サーバに ACS メッセージをロギングする機能が利用可能です。

ロギングの複数宛先への同時送信: ログ データを複数の宛先に同時に送信できます。

ロギングのリモート エージェント サポートの強化 :ローカルにのみ提供されていたレポートを外部に出力できるようになりました。たとえば、以前のバージョンのファイルについて監査レポートをアプライアンスのリモート エージェントに送ります。

RADIUS AES キー ラップ機能 :この機能は、安全かつ保証された操作モードをサポートします。特に Federal Information Processing Standard(FIPS; 連邦情報処理標準)準拠ワイヤレス ソリューションに従っています。ACS における EAP-TLS の RADIUS キー ラップ サポートは、シスコの実用的で配置可能で、相互運用可能なセキュア ソリューションのセキュリティ要件をすべて満たすための 1 つのステップです。AES は、MD5 暗号化に代わるものです。

Cisco NAC のサポート :ACS 4.1 は、展開された NAC のポリシー デシジョン ポイントとして機能します。設定可能なポリシーを使用して、Cisco Trust Agent(ポスチャ)から受け取ったクレデンシャルを評価して確認し、ホストの状態を判別して、ユーザごとの認可結果を、ACL、ポリシー ベースのアクセス コントロール リスト、プライベート VLAN 割り当てなどのネットワークアクセス デバイスに送信します。ホストのクレデンシャルを評価することによって、OS のパッチ レベル、アンチウイルス DAT ファイルのバージョンなど、さまざまな固有のポリシーを適用できます。ACS は、モニタリング システムで使用するために、ポリシー評価の結果を記録します。また ACS 4.1 では、ネットワーク アクセスを許可する前に、適切なエージェント テクノロジーを装備していないホストも、サードパーティの監査ベンダーによって監査できます。ACS ポリシーは、ACS がクレデンシャルを転送する外部ポリシー サーバにまで拡大できます。たとえば、アンチウイルス ベンダー固有のクレデンシャルは、そのベンダーのアンチウイルス ポリシー サーバに転送し、監査ポリシー要求はサードパーティの監査ベンダーに転送できます。詳細については、「ポスチャ確認」を参照してください。

GAME グループ フィードバック: この機能では、認証からユーザ グループとして返されたデバイス タイプ カテゴリを監査サーバと照合してホストを許可できます。

エージェントレスのサポートの強化 :この機能では、レイヤ 2 Network Access Device(NAD; ネットワーク アクセス デバイス)に接続されたエージェントレス ホストを監査するためのサポートを強化します。エージェントレス ホストは、IP アドレスを受け取り、監査のインスタンス化のみを行える隔離ネットワークに許可されます。インスタンス化されると、監査は通常のレイヤ 3 ホストとして続行します。

複製の拡張コンポーネント :このリリースには、複製の拡張コンポーネントが追加されました。管理者が複製できるものは、次のとおりです。

ポスチャ確認設定

追加のロギング アトリビュート

MAC Authentication Bypass の監査サポート :監査処理を強化し、MAC Authentication Bypass(MAB)に対応しました。MAB は、MAC 認証ポリシーおよび監査ポリシーに対する監査要求のダブルチェックをイネーブルにし、それら 2 つのポリシーの評価を統合します。

MAC 例外の監査検証 :MAC 例外を NAC 監査要求に適用できます。エンドポイントを二重に検証できます。エージェントレス要求処理が返した(デバイス タイプを示す)ユーザ グループが、監査サーバが返したデバイス タイプに一致するかどうかをチェックし、不一致を処理するためのポリシーを定義できます。

日本語版 Microsoft Windows のサポート :Microsoft Windows 2003 の日本語版にサービス パックで対応しました。ACS for Windows だけが Windows 2003 日本語版をサポートしています。ACS Solution Engine は日本語版の OS をサポートしていません。


NAT 環境に展開した分散 ACS はサポートしていません。


認証

認証とは、ユーザの ID を判別し、その情報を確認することです。従来の認証方式では、名前とある決まったパスワードが使用されていました。さらに安全で新しいテクノロジーには、Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)や One-Time Password(OTP; ワンタイム パスワード)があります。ACS は、これらのさまざまな認証方式をサポートしています。

認証と認可には基本的な暗黙の関係があります。ユーザに与えられる認可特権が多くなればなるほど、それに応じて認証を強化する必要があります。ACS は、さまざまな認証方法を用意して、この関係をサポートしています。

この項では、次のトピックについて取り上げます。

「認証方法の検討」

「認証とユーザ データベース」

「認証プロトコルとデータベースの互換性」

「パスワード」

「認証に関連するその他の機能」

認証方法の検討

ユーザ名とパスワードは、最も一般的かつ単純で、低コストな認証方式です。この方式の欠点は、ユーザ名やパスワードの情報が簡単に第三者に伝えられたり、推測または不正に取得されたりする可能性がある点です。単純な暗号化されていないユーザ名とパスワードによる認証は確実な認証メカニズムとは言えませんが、インターネット アクセスなどのように認可レベルまたは特権レベルが低い場合は十分に対応可能です。

ネットワーク上でパスワードが不正に取得される危険性を低減するには、暗号化を使用する必要があります。TACACS+ および RADIUS などのクライアント/サーバ アクセス制御プロトコルでは、パスワードを暗号化して、ネットワーク内でパスワードが不正に取得される事態の発生を防止します。ただし、TACACS+ と RADIUS は AAA クライアントと ACS 間でだけ動作します。認証プロセスにおいては、このポイントの前で、認可されていないユーザが暗号化されていないパスワードを入手する可能性があります。たとえば、次のような場合です。

電話回線を介してダイヤルアップ接続を行うエンドユーザ クライアントとの間の通信

ネットワークアクセス サーバで終端する Integrated Services Digital Network(ISDN; サービス総合デジタル ネットワーク)回線

エンドユーザ クライアントとホスティング デバイスの間の TELNET セッションを介して行われる通信

認証とユーザ データベース

ACS は、さまざまなユーザ データベースをサポートしています。ACS 内部データベース以外にも、次のような外部ユーザ データベースをサポートしています。

Windows ユーザ データベース

汎用 Lightweight Directory Access Protocol(LDAP)

Novell NetWare Directory Services(NDS)(汎用 LDAP との併用)

LEAP プロキシ Remote Access Dial-In User Service(RADIUS)サーバ

トークン サーバ

Open Database Connectivity(ODBC)準拠リレーショナル データベース(ACS for Windows)

認証プロトコルとデータベースの互換性

ACS が認証用にサポートしている各種のパスワード プロトコルは、ACS がサポートしている各種のデータベースによって同じようにサポートされているとは限りません。ACS がサポートしているパスワード プロトコルの詳細については、「パスワード」を参照してください。

表1-2 に、EAP 以外の認証プロトコルのサポートを示します。

 

表1-2 EAP 以外の認証プロトコルとユーザ データベースの互換性

データベース
ASCII/PAP
CHAP
ARAP
MS-CHAP v.1
MS-CHAP v.2

ACS

Yes

Yes

Yes

Yes

Yes

Windows SAM

Yes

No

No

Yes

Yes

Windows AD

Yes

No

No

Yes

Yes

LDAP

Yes

No

No

No

No

ODBC (ACS for Windows のみ)

Yes

Yes

Yes

Yes

Yes

LEAP プロキシ RADIUS サーバ

Yes

No

No

Yes

Yes

すべてのトークン サーバ

Yes

No

No

No

No

表1-3 に、EAP 認証プロトコルのサポートを示します。

 

表1-3 EAP 認証プロトコルとユーザ データベースの互換性

データベース
LEAP
EAP-MD5
EAP-
TLS
PEAP(EAP-
GTC)
PEAP(EAP-MS
CHAPv2)
PEAP(EAP-
TLS)
EAP-FAST フェーズ 0
EAP-FAST フェーズ 2

ACS

Yes

Yes

Yes

Yes

Yes

Yes

Yes

Yes

Windows SAM

Yes

No

No

Yes

Yes

No

Yes

Yes

Windows AD

Yes

No

Yes

Yes

Yes

Yes

Yes

Yes

LDAP

No

No

Yes

Yes

No

Yes

No

Yes

ODBC (ACS for Windows のみ)

Yes

Yes

Yes

Yes

Yes

Yes

Yes

Yes

LEAP プロキシ RADIUS サーバ

Yes

No

No

Yes

Yes

No

Yes

Yes

すべてのトークン サーバ

No

No

No

Yes

No

No

No

No

パスワード

ACS は、次のような一般的なパスワード プロトコルを多数サポートしています。

ASCII/Password Authentication Protocol(ASCII/PAP)

CHAP

MS-CHAP

Lightweight and Efficient Application Protocol(LEAP)

AppleTalk Remote Access Protocol(ARAP)

EAP-MD5

EAP-TLS

PEAP(EAP-GTC)

PEAP(EAP-MSCHAPv2)

PEAP(EAP-TLS)

EAP-FAST

パスワードの処理は、使用するセキュリティ制御プロトコルのバージョンと種類(たとえば RADIUS や TACACS+)および AAA クライアントとエンドユーザ クライアントの設定に応じて、上記の認証プロトコルを使用して行うことができます。次の各項では、パスワード処理のさまざまな条件と機能の概要について説明します。

トークン サーバの場合、ACS はトークン サーバに対するクライアントとして動作し、トークン サーバに応じて、そのサーバ特有の API か RADIUS インターフェイスのいずれかを使用します。詳細については、「トークン サーバと ACS について」を参照してください。

ACS では、異なるセキュリティ レベルを同時に使用して、さまざまな要件に対応できます。ユーザとネットワークの間の基本的なセキュリティ レベルは PAP です。PAP は、非暗号化セキュリティですが、クライアントにとって利便性が高く、シンプルです。PAP によって Windows データベースに対する認証を行うことができます。PAP で認証されるように設定しておくと、ユーザは 1 回の認証でデータベースにログインできます。エンドユーザ クライアントから AAA クライアントに通信するときに CHAP を使用すると、パスワードが暗号化されるため、暗号化しない場合より高いセキュリティ レベルが確保できます。CHAP は ACS 内部データベースで使用できます。ARAP のサポートには、Apple クライアントのサポートが必要です。

PAP、CHAP、ARAP の比較

PAP、CHAP、および ARAP は、パスワードを暗号化する認証プロトコルです。ただし、各プロトコルのセキュリティ レベルは異なります。 表1-4 は、各プロトコルに関連付けられているセキュリティを示します。

 

表1-4 PAP、CHAP、ARAP プロトコル

Protocol
セキュリティ

PAP

クリアテキストのパスワード(暗号化されていないパスワード)を使用する最もセキュリティ レベルの低い認証プロトコルです。ユーザの認証に Windows ユーザ データベースを使用する場合は、PAP のパスワード暗号化または Microsoft-Challenge Handshake Authentication Protocol(MS-CHAP)を使用する必要があります。

CHAP

応答時に一方向の暗号化を使用するチャレンジ/レスポンス方式です。CHAP を使用することで、ACS は、セキュリティ レベルの高い順からセキュリティ暗号化方式をネゴシエートし、プロセス中に伝送されるパスワードを保護します。CHAP パスワードは再利用が可能です。ACS 内部データベースを認証に使用している場合は、PAP または CHAP のどちらかを使用できます。CHAP は、Windows ユーザ データベースでは使用できません。

ARAP

双方向のチャレンジ/レスポンス方式を使用します。AAA クライアントはエンドユーザ クライアントに対して自分自身の認証を要求し、エンドユーザ クライアントは AAA クライアントに対して自分自身の認証を要求します。

MS-CHAP

ACS は、ユーザ認証用に MS-CHAP をサポートします。MS-CHAP と標準の CHAP の違いは次のとおりです。

MS-CHAP Response パケットは、Microsoft Windows および LAN Manager 2.x と互換性のある形式を使用しています。MS-CHAP 形式では、クリアテキストまたは復号化されたパスワードを認証者が保存する必要はありません。

MS-CHAP では、認証者が制御する認証再試行方式を使用します。

MS-CHAP では、Failure packet Message フィールドに障害コードが追加されています。

MS-CHAP の詳細については、RFC 2433「 Microsoft PPP CHAP Extensions 」の「RADIUS Attributes for MS-CHAP Support」を参照してください。

EAP のサポート

EAP は、IETF 802.1x に基づいており、AAA クライアントの設定を変更しなくても認証タイプを作成できるようにするエンドツーエンドのフレームワークです。EAP の詳細については、RFC 2284「 PPP Extensible Authentication Protocol(EAP) 」を参照してください。

ACS では、複数の EAP プロトコルをサポートしています。 表1-5 は、サポートされている各プロトコルを示します。

 

表1-5 EAP プロトコルのサポート

EAP プロトコル
説明

EAP-MD5

相互認証をサポートしていない EAP プロトコル。

EAP-TLS

トランスポート層セキュリティを含む EAP。詳細については、『 EAP-TLS Deployment Guide for Wireless LAN Networks 』および 「EAP-TLS 認証」を参照してください。

LEAP

Cisco Aironet ワイヤレス装置によって使用される EAP プロトコル。これは、相互認証をサポートしています。

PEAP

保護された EAP。EAP-Generic Token Card(GTC)、EAP-TLS および EAP-MS-CHAPv2 プロトコルを使用して実装されています。詳細については、「PEAP 認証」を参照してください。

EAP-FAST

EAP 認証の暗号化を高速化する手段。EAP-GTC 認証をサポートしています。詳細については、「EAP-FAST 認証」を参照してください。

ACS のアーキテクチャは、EAP に関しては拡張可能であり、上記以外のさまざまな EAP プロトコルは、プロトコルの完成次第、サポートする予定です。

基本的なパスワード設定

基本的なパスワードの設定には、次の 3 つのタイプがあります。


これらの設定はすべて、受信認証に分類されています。


ASCII/PAP/CHAP/MS-CHAP/ARAP 用に 1 つのパスワードを使用管理者がアカウントをセットアップする場合およびユーザが認証を取得する場合のどちらにも便利な方法です。しかし、CHAP パスワードが PAP パスワードと同じで、ASCII/PAP のログイン時に PAP パスワードがクリアテキストで伝送されるため、CHAP パスワードが外部に漏れる可能性があります。

ASCII/PAP 用と CHAP/MS-CHAP/ARAP 用に異なるパスワードを使用セキュリティ レベルを高くするために、2 つの異なるパスワードをユーザに与えることができます。ASCII/PAP パスワードが危険にさらされても、CHAP/ARAP パスワードの安全性は確保されます。

外部ユーザ データベースによる認証外部ユーザ データベースによる認証では、ユーザはパスワードを ACS 内部データベースに保存する必要はありません。代わりに、ACS は、ユーザを認証するために照会する外部ユーザ データベースを記録します。

高度なパスワード設定

ACS では、次に示す高度なパスワード設定をサポートしています。

受信パスワードほとんどの ACS ユーザによって使用されるパスワードです。受信パスワードをサポートするのは、TACACS+ プロトコルと RADIUS プロトコルです。このパスワードは ACS 内部データベースに保持されています。送信パスワードが設定されている場合、通常はこのバスワードが外部の送信元に公表されることはありません。

送信パスワードTACACS+ プロトコルは送信パスワードをサポートしています。送信パスワードは、たとえば、AAA クライアントを別の AAA クライアントおよびエンドユーザ クライアントが認証する場合に使用できます。ACS 内部データベースからのパスワードは、その後すぐに、2 番目の AAA クライアントおよびエンドユーザ クライアントに送信されます。

トークン キャッシングトークン キャッシングがイネーブルになっていると、ISDN ユーザは最初の認証時に入力したものと同じ OTP を使用して、2 番目の B チャネルに接続できます(制限時間内に限る)。セキュリティ レベルを高くするためには、AAA クライアントからの B チャネル認証要求では、ユーザ名の値に OTP を含める(たとえば、Fred password )と同時に、パスワードの値に ASCII/PAP/ARAP パスワードを含めることが必要です。TACACS+ サーバと RADIUS サーバは、トークンがキャッシュされていることを確認し、着信したパスワードを、ユーザが使用する設定に応じて、1 つの ASCII/PAP/ARAP パスワード、または別の CHAP/ARAP パスワードのいずれかと比較して検証します。

TACACS+ SENDAUTH 機能により、AAA クライアントは自分自身の認証を、他の AAA クライアントやエンドユーザ クライアントに対して、発信認証によって行うことができます。発信認証では、PAP、CHAP または ARAP を使用できます。発信認証の場合は、ACS のパスワードが公表されます。デフォルトでは、設定されている方法に応じて、ASCII/PAP パスワードまたは CHAP/ARAP パスワードが使用されます。しかし、ユーザに対して別の SENDAUTH パスワードを設定して、ACS の受信パスワードが外部に漏れないようにすることをシスコでは推奨します。

送信パスワードを使用して、最高のセキュリティ レベルを維持する必要がある場合は、ACS 内部ユーザ データベースのユーザに、受信パスワードとは異なる別の送信パスワードを設定することを推奨します。

パスワードのエージング

ACS では、パスワード エージングを適用するかどうか、および適用の方法を選択できます。パスワード エージングの制御は、ACS 内部データベースまたは外部 Windows ユーザ データベースのいずれかに備わっています。各パスワードのエージング方式は要件と設定によって異なります。

ACS 内部データベースが制御するパスワード エージング機能を使用すると、次のいずれかの条件で、ユーザにパスワードの変更を強制できます。

日付が値(ある日付)を超えたとき

指定ログイン回数を超えた後

新規ユーザの初回ログイン時

ACS 内部データベースが制御するパスワード エージング機能の要件と設定については、「ACS 内部データベースのパスワード エージングをイネーブルにする」を参照してください。

Windows ベースのパスワード エージング機能を使用すると、次のパスワード エージングのパラメータを制御できます。

パスワードの最大経過日数

パスワードの最小経過日数

Windows のパスワード エージングの方法と機能は、Windows オペレーティング システムのリリースによって異なります。Windows ベースのパスワード エージング機能の要件と設定については、「パスワード エージングを Windows データベースのユーザに対してイネーブルにする」および Windows システムのマニュアルを参照してください。

ユーザが変更できるパスワード

ACS では、別のプログラムをインストールして、ユーザが Web ベースのユーティリティを使用して自分のパスワードを変更することが可能です。ユーザが変更できるパスワードのインストールの詳細については、 http://www.cisco.com の『 Installation and User Guide for Cisco Secure ACS User-Changeable Passwords 』を参照してください。

認証に関連するその他の機能

この項で述べた認証に関連する機能に加えて、ACS は次の機能を提供します。

未知ユーザの認証に外部ユーザ データベースを使用する機能(「未知ユーザ認証について」を参照)。

Microsoft Windows を実行しているコンピュータの認証(「マシン認証」を参照)。

Microsoft Windows Callback 機能のサポート(「ユーザ コールバック オプションの設定」を参照)。

外部データ ソースを使用して、パスワードを含むユーザ アカウントを設定する機能(「RDBMS 同期化について」を参照)。

外部ユーザがイネーブル パスワードを使用して認証を行う機能(「TACACS+ Enable Password オプションをユーザに対して設定する」を参照)。

他の AAA サーバに対する認証要求の代理処理(「分散システムにおけるプロキシ」を参照)。

代理処理された認証要求からの設定可能文字列の除去(「ストリッピング」を参照)。

自己署名サーバ証明書(「自己署名証明書の使用」を参照)。

EAP-TLS 認証中の証明書失効リストの確認(「証明書失効リストの管理」を参照)。

認可

認可によって、ユーザが実行できる操作が決定されます。ACS は、ユーザ プロファイル ポリシーを AAA クライアントに送信して、そのユーザがアクセスできるネットワーク サービスを決定します。ユーザごとおよびグループごとに、異なるサービス レベルの認可を設定できます。たとえば、標準的なダイヤルアップ ユーザに、重要なお客様やユーザと同じアクセス特権を持たせないように設定できます。また、セキュリティ レベル、アクセス時間帯、およびサービスによって差別化することもできます。

ACS のアクセス制限機能を使用して、時間帯および曜日に基づいてログインを許可または拒否できます。たとえば、一時アカウントのグループを作成し、指定した日付にログインを無効にできます。このため、サービス プロバイダーは 30 日間の無料トライアルを提供することもできます。さらに、同じ認可機能を使用して、ログインの許可を月曜日から金曜日の午前 9 時から午後 5 時に制限した、コンサルタント用のテンポラリ アカウントを作成することもできます。

また、ユーザに次の制限を適用できます。

単一サービス

PPP、ARAP、Serial Line Internet Protocol(SLIP; シリアル ライン インターネット プロトコル)、EXEC などのサービスの組み合せ。

IP や IPX などのレイヤ 2 およびレイヤ 3 プロトコル

アクセス リスト

ユーザごとまたはグループごとに基づいて、アクセス リストで次のユーザ アクセスを制限できます。

重要な情報が格納されている一部のネットワーク

File Transfer Protocol(FTP; ファイル転送プロトコル)や Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)などの特定サービス

サービス プロバイダーによって提供され、各企業の間で採用されて急速に普及しているサービスの 1 つが、Virtual Private Dial-Up Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)のサービス認可です。ACS では、情報を特定ユーザ用のネットワーク デバイスに提供し、インターネットなどの公衆ネットワークを介した安全なトンネルを設定できます。この情報は、お客様の設備内でユーザを検証するアクセス サーバ(たとえば、そのユーザ用のホーム ゲートウェイ)、または同じ目的のホーム ゲートウェイ ルータに提供されます。いずれの場合も、ACS は、VPDN の各エンドとして使用できます。

この項では、次のトピックについて取り上げます。

「最大セッション数」

「ダイナミックな使用割当量」

「共有プロファイル コンポーネント」

「Cisco デバイス管理アプリケーションのサポート」

「認可に関連するその他の機能」

最大セッション数

最大セッションは、ユーザまたはグループのいずれかが利用できる同時セッション数の最大値を制限するときに役立つ機能です。

ユーザ最大セッション :たとえば、インターネット サービス プロバイダーは、アカウント保持者それぞれに対してセッションを 1 つだけに制限できます。

グループ最大セッション :たとえば、企業の管理者はリモート アクセス インフラストラクチャをいくつかの部門間で同等に共有するように許可し、ある 1 つの部門のユーザ全員に対して同時セッション数の最大値を制限できます。

単純なユーザ最大セッションとグループ最大セッションによる制御を有効にすることに加えて、ACS では、管理者がグループ最大セッション数を指定して、グループベースのユーザ最大セッション数を指定することもできます。つまり、ユーザのグループ メンバーシップに基づいてユーザ最大セッション値を指定できます。たとえば、「 営業 」グループに対してグループ最大セッション数 50 を割り当て、さらにその「 営業 」グループの各メンバーに対して最大セッションをそれぞれ 5 セッションに制限することもできます。この場合、グループ アカウントのどのメンバーも一度に 5 セッションを超えて使用することはできませんが、グループでは 50 までのアクティブ セッションを使用できます。

最大セッション機能の詳細については、「最大セッションをユーザ グループに対して設定する」および 「最大セッション オプションをユーザに対して設定する」を参照してください。

ダイナミックな使用割当量

ACS では、ユーザに対してネットワーク使用割当量を定義できます。使用割当量を使用して、グループ内の各ユーザまたは個別ユーザのネットワーク アクセスを制限します。割当量は、セッション時間またはセッション総数で定義します。絶対時間数でも、毎日、毎週、毎月ベースでも定義できます。割当量を超えてしまったユーザにアクセスを付与するために、必要に応じてセッション割当量カウンタをリセットできます。

時間に基づいた割当量をサポートするためには、すべての AAA クライアント上でアカウンティング アップデート パケットをイネーブルにすることを推奨します。アップデート パケットが使用できない場合、割当量が更新されるのはユーザがログオフして、AAA クライアントからのアカウンティング停止パケットが受信されたときだけです。ユーザがネットワークにアクセスするときに通る AAA クライアントに障害が発生すると、セッション情報はアップデートされません。ISDN のような複数セッションの場合は、すべてのセッションが終了するまで割当量はアップデートされないため、ユーザに割り当てられている量を最初のチャネルが使い切っても、2 番目のチャネルは受け付けられます。

使用割当量の詳細については、「使用割当量をユーザ グループに対して設定する」および 「User Usage Quotas に設定するオプション」を参照してください。

共有プロファイル コンポーネント

ACS は、複数のユーザ グループおよびユーザに適用できる認可プロファイル コンポーネントを指定するための手段を提供しています。たとえば、まったく同じネットワーク アクセス制限を課しているユーザ グループが複数あるとします。この場合、ネットワーク アクセス制限をグループごとに繰り返し設定するのではなく、Web インターフェイスの Shared Profile Components セクションにネットワーク アクセス制限セットを設定した後で、そのネットワーク アクセス制限セットを使用するように各グループを設定します。

ACS がサポートする共有プロファイル コンポーネントの種類については、「共有プロファイル コンポーネントについて」を参照してください。

Cisco デバイス管理アプリケーションのサポート

ACS は、たとえば、管理アプリケーションを使用して管理対象ネットワーク デバイスを設定するネットワーク ユーザに対してコマンド認可を提供することにより、Cisco デバイス管理アプリケーションをサポートします。管理アプリケーションのユーザに対するコマンド認可のサポートは、認可に ACS を使用するように設定されている各管理アプリケーション対して、固有のコマンド認可セットを使用することで実現します。

ACS は、管理アプリケーションとの通信に TACACS+ を使用します。管理アプリケーションが ACS と通信できるようにするには、その管理アプリケーションを、ACS に TACACS+ を使用する AAA クライアントとして設定する必要があります。また、デバイス管理アプリケーションに有効な管理者名とパスワードを与える必要があります。管理アプリケーションが最初に ACS と通信するとき、これらの要件が通信の正当性を保証します。

さらに、管理アプリケーションが使用する管理者は、Create New Device Command Set Type 特権がイネーブルになっている必要があります。管理アプリケーションは、最初に ACS と通信するとき、ACS に対してデバイス コマンド セット タイプの作成を指示します。このコマンド セット タイプは、Web インターフェイスの Shared Profile Components セクションに表示されます。また、TACACS+ に対してカスタム サービスを認可するように指示します。カスタム サービスは、Web インターフェイスの Interface Configuration セクションの TACACS+(Cisco IOS)ページに表示されます。TACACS+ サービスをイネーブルにする方法については、「TACACS+ 設定オプションの表示」を参照してください。管理アプリケーション用のデバイス コマンド認可セットについては、「コマンド認可セット」を参照してください。

管理アプリケーションがカスタム TACACS+ サービスおよびデバイス コマンド認可セット タイプを ACS に指示した後、管理アプリケーションがサポートする各ロール用のコマンド認可セットを設定して、それらのセットを、ネットワーク管理者が含まれているユーザ グループ、またはネットワーク管理者である個人ユーザに対して適用できます。

認可に関連するその他の機能

この項で述べた認可に関連する機能に加えて、ACS は次の機能を提供します。

ユーザのグループ管理(「ユーザ グループ管理」を参照)。

外部ユーザ データベースからのユーザを特定の ACS グループにマッピングする機能(「ユーザ グループ マッピングと仕様」を参照)。

管理者が指定したアクセス失敗回数を超えるとアカウントをディセーブルにする機能(「ユーザ アカウントの無効化オプションの設定」を参照)。

特定の日にアカウントをディセーブルにする機能(「ユーザ アカウントの無効化オプションの設定」を参照)。

ユーザのグループをディセーブルにする機能(「グループの無効化」を参照)。

時間帯と曜日でアクセスを制限する機能(「デフォルトの時間帯アクセスをユーザ グループに対して設定する」を参照)。

リモート アドレスの Caller Line Identification(CLID; 発信番号識別)と Dialed Number
Identification Service(DNIS; 着信番号識別サービス)に基づく Network Access Restriction(NAR; ネットワーク アクセス制限)(「ネットワーク アクセス制限をユーザ グループに対して設定する」を参照)。

集中モジュラ構造 ACL 管理を可能にする、ユーザまたはグループのダウンロード可能 ACL(「ダウンロード可能 IP ACL」を参照)。

ネットワークへのユーザのエントリ ポイントに基づいてさまざまなダウンロード可能 ACL と NAR を適用できるようにするネットワーク アクセス フィルタ(「ネットワーク アクセス フィルタ」を参照)。

Network Access Profile の設定に応じて、ユーザをイネーブルまたはディセーブルにする機能(「NAP の認可ポリシーの設定」を参照)。

エンドユーザ クライアント ホストの IP アドレス設定に使用する IP プール(「IP アドレス割り当て方式をユーザ グループに対して設定する」を参照)。

ユーザあたりおよびグループあたりの TACACS+ アトリビュートまたは RADIUS アトリビュート(「高度なオプションの表示」を参照)。

VoIP のサポート。アカウンティング データを設定可能なロギングを含む(「VoIP サポートをユーザ グループに対してイネーブルにする」を参照)。

アカウンティング

AAA クライアントは、RADIUS プロトコルおよび TACACS+ プロトコルが提供するアカウンティング機能を使用して、各ユーザ セッションに関するデータを AAA サーバに記録するために送ります。アカウンティング ログ ファイルを一般的に使用されているデータベースや表計算アプリケーションに簡単にインポートして、課金処理、セキュリティ監査、レポート作成などに利用できます。サード パーティ製のレポート ツールを使用してアカウンティング データを管理することもできます。

ACS は、設定に応じて、アカウンティングの記録を次の 1 つ以上のファイルに書き込みます。

カンマ区切り形式(CSV)ログ ファイル

syslog ファイル

ODBC データベース(ACS for Windows のみ)

作成できるアカウンティング ログには、次の種類があります。

TACACS+ Accounting :セッションの開始時刻と終了時刻の一覧表示、ユーザ名付き AAA クライアント メッセージの記録、発信番号識別情報の提供、および各セッションの継続時間の記録を行います。

RADIUS Accounting :セッションの開始時刻と終了時刻の一覧表示、ユーザ名付き AAA クライアント メッセージの記録、発信番号識別情報の提供、および各セッションの継続時間の記録を行います。

VoIP Accounting :VoIP セッションの開始時刻と終了時刻、ユーザ名付き AAA クライアント メッセージ、Caller Line identification(CLID; 発信番号識別)情報、および VoIP セッション継続時間を記録します。

ACS のロギング機能の詳細については、「ログとレポート」を参照してください。

アカウンティングに関連するその他の機能

この項で述べたアカウンティングに関連する機能に加えて、ACS は次の機能を提供します。

次の集中ロギング

複数の ACS インストールで、それぞれのアカウンティング データを単一のリモート ACS に転送できます。

ACS Solution Engine では、集中ロギングにリモート エージェントを使用します。

詳細については、「ACS for Windows のリモート ロギング」を参照してください。

設定可能な補助ユーザ ID フィールド。ログにある追加情報を取得するために使用します(「ユーザ データのカスタマイズ」を参照)。

設定可能なログ。必要な情報を取得できます(「AAA 関連ログ」を参照)。

ACS の管理

AAA の機能を設定、維持、保護するために、ACS では柔軟な管理方式が使用されています。ACS の管理タスクは、ほとんどすべてを Web インターフェイスを介して実行できます。Web インターフェイスを使用すると、LAN または WAN の任意の接続から ACS の設定を容易に変更して、その設定を Web ブラウザで表示できます。サポートされているブラウザのリストについては、
http://www.cisco.com/en/US/products/sw/secursw/ps5338/prod_release_note09186a00805efcbc.html にある最新バージョンの『 Release Notes for Cisco Secure ACS Release 4.1 』を参照してください。

Web インターフェイスでは、ユーザ情報とグループ情報を表示、編集できるだけでなく、サービスの再起動、リモート管理者の追加、AAA クライアント情報の変更、システムのバックアップ、ネットワーク上の任意の場所からのレポート表示なども実行できます。

この項では、ACS インターフェイスについて説明し、次のトピックについて取り上げます。

「Web インターフェイスのセキュリティ」

「Cisco Security Agent の統合 (ACS Solution Engine のみ)」

「管理セッション用の HTTP ポートの割り当て」

「Web インターフェイスのレイアウト」

「Web インターフェイス用の URL」

「オンライン ヘルプとオンライン マニュアル」

Web インターフェイスのセキュリティ

Web インターフェイスにアクセスするには、有効な管理者名とパスワードが必要です。管理者のクレデンシャルは、ACS Login ページで暗号化されてから ACS に送信されます。

管理セッションは、一定のアイドル時間(設定可能)が経過するとタイムアウトします。それでも、各セッションが終了したら Web インターフェイスからログアウトすることを推奨します。アイドル タイムアウト機能の設定については、「アクセス ポリシーの設定」および 「Access Policy Setup ページ」を参照してください。

管理セッション用に Secure Sockets Layer(SSL)をイネーブルにできます。イネーブルにすると、Web ブラウザと ACS との通信がすべて暗号化されます。ただし、ブラウザが SSL をサポートしている必要があります。この機能は、Administration Control セクションの Access Policy Setup ページでイネーブルにできます。Web インターフェイスのセキュリティを確保するために SSL をイネーブルにする方法については、「アクセス ポリシーの設定」および 「Access Policy Setup ページ」を参照してください。

Cisco Security Agent の統合 (ACS Solution Engine のみ)

Cisco Security Agent は ACS Solution Engine を保護します。ACS に Cisco Security Agent 更新を適用しているか、Cisco Security Agent が組み込まれたアプライアンス ベース イメージを使用しているかにかかわらず、Cisco Security Agent はウイルス、ワーム、および攻撃から ACS を保護するのに役立ちます。ACS Solution Engine では、ACS が保護を行いながら正常に動作できるようにシスコが設定したスタンドアロン モードで Cisco Security Agent は動作します。


) Cisco Security Agent が組み込まれた最初のアプライアンス ベース イメージのバージョンは、3.3.1.3 です。show コンソール コマンドか、Web インターフェイスの System Configuration セクションにある Appliance Upgrade Status ページを使用して、アプライアンス ベース イメージのバージョンを判別できます。


この項では、次のトピックについて取り上げます。

「Cisco Security Agent のサービス管理」

「Cisco Security Agent のロギング」

「Cisco Security Agent の制限」

「Cisco Security Agent のポリシー」

Cisco Security Agent のサービス管理

Cisco Security Agent は、アプライアンスで CSAgent という名前の追加サービスとして動作します。

CSAgent を管理するには、アプライアンスのコンソールから start stop 、および restart コマンドを使用します。これらのコマンドの詳細については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.1 』を参照してください。

HTML インターフェイスから System Configuration セクションの Appliance Configuration ページを使用すると、 CSAgent をイネーブルまたはディセーブルにできます。詳細については、「アプライアンスの設定 (ACS Solution Engine のみ)」を参照してください。

Cisco Security Agent のロギング

Cisco Security Agent は、アプライアンスのハード ドライブに CSALog CSASecurityLog の 2 つのログを書き込みます。各ログの最大サイズは 1 MB です。Cisco Security Agent ログが 1 MB を超えると、Cisco Serucity Agent は新しいログ ファイルを生成します。ACS では、各 Cisco Security Agent ログの最新の 3 ファイルが保持されます。

アプライアンスのコンソールから exportlogs コマンドを使用すると、Cisco Security Agent ログを取得できます。 exportlogs コマンドまたはコンソールの使用方法については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.1 』を参照してください。

Web インターフェイスから System Configuration セクションの View Diagnostic Logs ページにあるリンクをクリックすると、Cisco Security Agent ログを表示できます。

Cisco Security Agent の制限

CSAgent がイネーブルの場合、Cisco Security Agent がアプライアンスに提供する保護によって次の制限が加えられます。

Upgrade and Patch Restriction :System Configuration セクションの Appliance Upgrade Status ページ、またはアプライアンスのコンソールで upgrade コマンドを使用してアップグレードやパッチを適用することはできません。ACS をアップグレードしたり、パッチを適用したりするには、最初に CSAgent をディセーブルにする必要があります。

ping Restriction :Cisco Security Agent は、ACS Solution Engine が他のコンピュータから受信した ping 要求に応答することを許可しません。ただし、アプライアンスのコンソールでの ping コマンドの使用には影響しません。 CSAgent をディセーブルにして ACS Solution Engine が ping 要求に応答するのを許可する場合、 CSAgent がディセーブルである限り、Cisco Security Agent の保護は実行されません。

CSAgent のディセーブル化については、「Cisco Security Agent のサービス管理」を参照してください。

Cisco Security Agent のポリシー

Cisco Security Agent には次のポリシーが設定されています。

Application Control :Cisco Security Agent は ACS が正常に動作するために必要なアプリケーションの実行だけを許可します。この保護のため、アップグレードまたはパッチを適用する前に Cisco Security Agent をディセーブルにする必要があります。

File Access Control :Cisco Security Agent は ACS が正常に動作するために必要なアプリケーションのみのファイル システム アクセスを許可します。

IP and Transport Control :Cisco Security Agent は次の保護を行います。

無効な IP ヘッダーの廃棄

無効な転送ヘッダーの廃棄

TCP/UDP ポート スキャンの検出

アプライアンスによるポート スキャン防止の非表示化

TCP ブラインド セッション スプーフィングの防止

TCP SYN フラッドの防止

ICMP 変換チャネルのブロック

ping などの危険な ICMP メッセージのブロック

IP 送信元ルーティングの防止

トレース ルーティングの防止

E-mail Worm Protection :Cisco Security Agent は、電子メール ワームからアプライアンスを保護します。

Registry Access Control :Cisco Security Agent は、アプライアンスが適切に動作するためにアクセスする必要のあるアプリケーションへのレジストリ アクセスだけを許可します。

Kernel Protection :Cisco Security Agent はシステムの起動が完了した後にカーネル モジュールのロードを許可しません。

Trojan and Malicious Application Protection :Cisco Security Agent の保護により、アプリケーションは次の操作を実行できません。

他のアプリケーションが所有しているスペースへのコードの書き込み

ActiveX コントロールのダウンロードおよび実行

ダウンロードされたプログラムの自動実行

オペレーティング システムのパスワード情報への直接アクセス

他のプロセスが所有しているメモリへの書き込み

ネットワークへのアクセス時のキー入力の監視

管理セッション用の HTTP ポートの割り当て

HTTP ポート割り当て機能を使用して、管理 HTTP セッション用に ACS が使用する TCP ポートの範囲を設定できます。この範囲を HTTP ポート割り当て機能によって狭めることで、管理セッションのために開いたポートによってネットワークへの不正なアクセスが発生するリスクが少なくなります。

ACS をファイアウォールを通して管理することは、シスコでは推奨していません。ファイアウォールを通しての管理には、ACS が使用する HTTP 管理セッションのポート範囲全体で HTTP トラフィックを許可するように、ファイアウォールを設定する必要があります。この範囲を狭くして不正なアクセスによるリスクが減っても、ACS をファイアウォールの外から管理することを許可すれば、より大きな攻撃のリスクが残ります。ポート 2002 は、管理セッションの起動時に Web ブラウザがアクセスする必要があるため、ACS の管理ポート範囲外の HTTP トラフィックを許可するように設定されたファイアウォールは、このポートの HTTP トラフィックも許可する必要があります。


) HTTP ポート範囲を広くすると、セキュリティ上のリスクが高くなる可能性があります。不正なユーザが偶然にアクティブな管理ポートを発見することを避けるため、HTTP ポート範囲はなるべく狭くしてください。ACS は、各管理セッションに関連付けられた IP アドレスをトラッキングします。不正なユーザは、アクティブな管理セッションの HTTP ポートを悪用するために、正当なリモート ホストの IP アドレスになりすます(スプーフィングを行う)ことがあります。


HTTP ポート割り当て機能の設定については、「アクセス ポリシーの設定」および 「Access Policy Setup ページ」を参照してください。

Web インターフェイスのレイアウト

Web インターフェイスには、縦割りの 3 つのパーティションがあり、これらはフレームと呼ばれます。

Navigation Barブラウザ ウィンドウの左側にある灰色のフレームで、タスク ボタンを表示するナビゲーション バーです。各ボタンは、コンフィギュレーション領域を ACS アプリケーション固有のセクション、たとえば、User Setup セクションや Interface Configuration セクションに変更します。このフレームの内容は変わらず、常に次のボタンが表示されています。

User Setup :ユーザ プロファイルの追加や編集を行います。User Setup セクションの詳細については、「ユーザ管理」を参照してください。

Group Setup :ユーザのグループ用にネットワーク サービスとプロトコルを設定します。Group Setup セクションの詳細については、「ユーザ グループ管理」を参照してください。

Shared Profile Components :ネットワーク アクセス制限およびコマンド認可セットの追加や編集を行います。ユーザとグループに適用されます。Shared Profile Components セクションの詳細については、「共有プロファイル コンポーネント」を参照してください。

Network Configuration :ネットワーク アクセス デバイスの追加や編集、分散システムの設定を行います。Network Configuration セクションの詳細については、「ネットワーク設定」を参照してください。

System Configuration :システム レベルの機能を設定します。Web インターフェイスのこの大きなセクションについては、4 つの章で説明しています。バックアップのスケジューリング、サービス制御などの基本機能については、「システム設定:基本」を参照してください。データベース複製などの高度な機能については、「システム設定:高度」を参照してください。認証プロトコルおよび証明書関連機能の設定については、「システム設定:認証と証明書」を参照してください。ログとレポートの設定については、「ログとレポート」を参照してください。

Interface Configuration :設定対象となる製品機能とオプションを表示したり非表示にしたりします。Interface Configuration セクションの詳細については、「Web インターフェイスの使用方法」を参照してください。

Administration Control :アクセス ポリシーの定義や設定を行います。Administration Control セクションの詳細については、「管理者と管理ポリシー」を参照してください。

External User Databases :データベース、未知ユーザ ポリシー、およびユーザ グループ マッピングを設定します。データベースを設定する方法については、「ユーザ データベース」を参照してください。未知ユーザ ポリシーについては、「未知ユーザ ポリシー」を参照してください。ユーザ グループ マッピングについては、「ユーザ グループ マッピングと仕様」を参照してください。

Posture Validation :NAC を適用するよう設定された AAA クライアントを介してネットワークにアクセスするコンピュータの、アクセス許可の程度を制御できます。ポスチャ確認の詳細については、「ポスチャ確認」を参照してください。

Network Access Profiles :ユーザがネットワークに接続できる条件を設定し、ネットワークへのアクセス要求が適用される方法を指定します。ネットワーク アクセス プロファイルを設定する方法の詳細については、「ネットワーク アクセス プロファイル」を参照してください。

Reports and Activity :アカウンティング情報およびロギング情報を表示します。レポートの表示については、「ログとレポート」を参照してください。

Online Documentation :ユーザ ガイドを確認します。オンライン マニュアルの使用については、「オンライン ヘルプとオンライン マニュアル」を参照してください。

Configuration Area :ブラウザ ウィンドウ中央のフレームはコンフィギュレーション領域で、ナビゲーション バーのボタンが表すセクションの 1 つに属する Web ページが表示されます。コンフィギュレーション領域で、情報を追加、編集、削除します。たとえば、User Setup Edit ページのこのフレームで、ユーザ情報を設定します。


) ほとんどのウィンドウには、一番下に Submit ボタンがあります。変更内容を確定するには、Submit をクリックします。Submit をクリックしないと、変更内容は保存されません。


Display Area :ブラウザ ウィンドウの右側にあるペインはディスプレイ領域で、次のオプションのいずれかが表示されます。

Online Helpコンフィギュレーション領域に現在表示されているページに関する基本的なヘルプが表示されます。このヘルプはセクションの詳細情報ではなく、中央部のフレームで実行できる作業に関する基本情報を表示します。オンライン ヘルプの詳細については、「オンライン ヘルプの使用方法」を参照してください。

Reports or Listsアカウンティング レポートを含む、リストまたはレポートが表示されます。たとえば、User Setup では、特定の文字で始まるすべてのユーザ名を表示することができます。特定の文字で始まるユーザ名のリストが、このセクションに表示されます。ユーザは特定のユーザ設定にリンクするハイパーリンク形式で表示されるので、名前をクリックするだけでそのユーザの編集が可能になります。

System Messages誤ったデータまたは不完全なデータを入力して Submit をクリックすると、エラー メッセージが表示されます。たとえば、User Setup セクションで、Password ボックスに入力した情報と Confirm Password ボックスの情報とが一致しない場合、ACS はエラー メッセージを表示します。誤った情報はコンフィギュレーション領域に表示されたままであるため、これを正しい情報を入力し直して、再提示できます。

Web インターフェイス用の URL

次の URL のいずれかを使用して、ACS Web インターフェイスにアクセスできます。

http:// IP address :2002

http:// hostname :2002

IP address には ACS が動作しているサーバのドット付き 10 進表記の IP アドレス、 hostname にはホスト名が入ります。ホスト名を使用している場合は、ネットワークで DNS が正しく機能しているか、またはブラウザを実行しているコンピュータのローカル ホスト ファイルにホスト名が記載されている必要があります。

SSL を使用して管理セッションを保護するように ACS が設定されている場合は、URL で HTTPS プロトコルを指定する必要があります。

https:// IP address :2002

https:// hostname :2002

SSL がイネーブルになっている場合は、HTTPS を指定しなくても、ACS によって最初の要求が HTTPS へリダイレクトされます。SSL を使用してログイン ページにアクセスすると、管理者クレデンシャルが保護されます。管理セッションを保護するための SSL のイネーブル化については、「アクセス ポリシーの設定」および「Access Policy Setup ページ」 を参照してください。

ACS を実行しているコンピュータからは、次の URL も使用できます。

http://127.0.0.1:2002

http://localhost:2002

SSL がイネーブルになっている場合は、次のように URL で HTTP プロトコルを指定できます。

https://127.0.0.1:2002

https://localhost:2002

オンライン ヘルプとオンライン マニュアル

Web インターフェイスから 2 つの情報源にアクセスできます。

オンライン ヘルプ :コンフィギュレーション領域に表示されるページに関する基本情報です。

オンライン マニュアル :ユーザ ガイド全体が確認できます。

オンライン ヘルプの使用方法

Web インターフェイスの各ページには、対応するオンライン ヘルプのページがあります。オンライン ヘルプの各ページには、現在の Web ページに対応するトピックがリストされます。

ACS のページには、次の 2 つのヘルプ アイコンが表示されます。

Question Mark :コンフィギュレーション領域にあるページのサブセクションの多くに、疑問符のアイコン(?)があります。オンライン ヘルプ ページの該当するトピックにジャンプするには、この疑問符アイコンをクリックします。

Back to Help :Section Information アイコンでオンライン マニュアルページにジャンプすると、コンフィギュレーション領域の対応するページに、Back to Help アイコンが表示されます。Section Information アイコンをクリックしてオンライン マニュアルにアクセスしているとき、再びオンライン ヘルプのページを表示するには、Back to Help アイコンをクリックします。

オンライン ユーザ ガイドの使用方法

ユーザ ガイドには、ACS の設定、動作、概念についての情報が記載されています。ユーザ ガイドのオンライン マニュアルに含まれる情報は、使用しているバージョンの ACS のリリース日時点のものです。ACS の最新のマニュアルについては、 http://www.cisco.com を参照してください。

オンライン マニュアルにアクセスするには、次の手順を実行します。


ステップ 1 ACS の Web インターフェイスで、 Online Documentation をクリックします。オンライン マニュアルの使用については、「オンライン マニュアル リファレンス」を参照してください。


 

ACS の仕様


) ハードウェア、オペレーティング システム、サードパーティ ソフトウェア、およびネットワークの要件については、『Installation Guide for Cisco Secure ACS for Windows Release 4.1』または『Installation Guide for Cisco Secure ACS Solution Engine Release 4.1』を参照してください。


この項では、次のトピックについて取り上げます。

「システム パフォーマンス仕様」

「ACS Windows サービス」

システム パフォーマンス仕様

ACS で実現されるパフォーマンスは、インストールされている Windows サーバ、ネットワーク トポロジとネットワーク管理、ユーザ データベースの選択、およびその他の要因に大きく依存します。たとえば、内部ユーザ データベースを使用し、使用可能な最高速のプロセッサとネットワーク インターフェイス カードを使用するコンピュータ上で動作している ACS は、外部ユーザ データベースを使用し、最小システム要件に適合するコンピュータ上で動作している CiscoSecure ACS よりも、1 秒間に実行できる件数が多くなります(『 Installation Guide for Cisco Secure ACS for Windows Release 4.1 』または『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.1 』を参照)。

システム パフォーマンスについて、よくある質問に対する一般的な回答を次に示します。使用するネットワークにおける ACS のパフォーマンスは、そのネットワーク特有の環境および AAA 要件によって異なります。

ACS 内部データベースがサポートする最大ユーザ数 :ACS 内部ユーザ データベースがサポート可能なユーザ数に、理論的な制限はありません。シスコでは 100,000 を超えるユーザのデータベースで ACS をテスト済みです。実際には、1 台の ACS が内部および外部のデータベース全部に対して認証できるユーザ数の上限は、300,000 ~ 500,000 です。何台かの複製された ACS インスタンスに認証の負荷が分散されていると、この数は大幅に増加します。

トランザクション件数/秒 :1 秒あたりの認証トランザクションと認可トランザクションの件数を決定する要素は数多くありますが、大部分は ACS の外部の要素です。たとえば、外部ユーザ データベースとの通信時にネットワーク待ち時間が長くなると、ACS が処理できる 1 秒あたりのトランザクション件数が少なくなります。

サポートされる最大 AAA クライアント数 :ACS は、約 50,000 台の AAA クライアント設定に対して AAA サービスをサポートできることがテストによって検証されています。この制限は、主に ACS メモリの制限によるものです。

ネットワークが数万台の AAA クライアントで構成されている場合は、複数の ACS を使用して、各 ACS に管理しやすい数の AAA クライアントを割り当てることを推奨します。たとえば、80,000 台の AAA クライアントがある場合は、4 台の ACS サーバを使用して AAA クライアントによる負荷を分散することで、管理する AAA クライアント設定の数が 40,000 台を超える ACS が 1 台もないようにできます。次に、バックアップの AAA サーバで AAA クライアントを重複してサポートすると、AAA クライアントの限界である 50,000 台を超えることはありません。複製を利用して、設定データを複数の ACS に拡大する場合、AAA クライアント データは、同じ AAA クライアント セットにサービスを提供する ACS だけに複製してください。

ACS Windows サービス

ACS は、Microsoft Windows のサービスとして動作します。ACS をインストールすると、これらの Windows サービスがサーバに追加されます。これらのサービスは、ACS の中心となる機能を提供します。

ACS を実行しているコンピュータにおける ACS サービスは、次のとおりです。

CSAdmin :ACS の管理用 Web インターフェイスを提供します。

CSAuth :認証サービスを提供します。

CSDBSync :ACS 内部データベースを外部 RDBMS アプリケーションに同期させます。

CSLog :ロギング サービスを、アカウンティングとシステム アクティビティに対して提供します。

CSMon :ACS のパフォーマンスと動作の監視、記録、および通知を行います。

CSTacacs :TACACS+ AAA クライアントと CSAuth サービスの間の通信を提供します。

CSRadius :RADIUS AAA クライアントと CSAuth サービスの間の通信を提供します。

各サービスの詳細については、 付録 G「内部アーキテクチャ」 を参照してください。

これらの各モジュールの開始および終了は、個別にシリアル コンソールおよび Microsoft Windows のコントロール パネルにあるサービスから行うことも、グループとしてシリアル コンソールまたは ACS Web インターフェイスから行うこともできます。シリアル コンソールを使用した ACS サービスの開始と終了については、『 Installation Guide for Cisco Secure ACS Solution Engine Release 4.1 』を参照してください。Web インターフェイスを使用した ACS サービスの開始と終了については、「サービス制御」を参照してください。サービス ログやトラブルシューティング用のデータの収集については、「サービス ログ」を参照してください。

高度なレベルのセキュリティ サービスを提供するネットワーク管理者、およびパスワードの不正な取得による不正アクセスの可能性を低減しようとする企業は、OTP を使用できます。ACS は、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)のリモート ノード ログインに対応した Password Authentication Protocol(PAP; パスワード認証プロトコル)を含む、いくつかの種類の OTP ソリューションをサポートしています。その中でも最強の OTP 認証メカニズムの 1 つと考えられているのが、トークン カードです。

オンライン マニュアル リファレンス

表1-6 は、オンライン マニュアル インターフェイスのオプションです。

 

表1-6 オンライン マニュアル

オプション
説明

Home

オンライン マニュアルの先頭ページを開きます(ユーザ ガイド第 1 章の最初のページ)。

Search

Search ページを開きます。検索する文字列を入力します。 Any Words を選択すると、検索文字列のいずれかの語が含まれるトピックのリストが表示されます。 All Words を選択すると、検索文字のすべての語が含まれるトピックのリストが表示されます。 Using Search をクリックすると、検索の詳細が表示されます。

Using Help

Using Help ページを開きます。このページには、ACS オンライン マニュアルの使い方のヒントが表示されます。

Glossary

インターネットワーキングの専門用語や略語に関するシスコのオンライン用語集を開きます。

View PDF

ユーザ ガイドを PDF 形式で表示します。

Contents

ユーザ ガイドの全トピックの一覧が表示されます。適切なトピックをクリックすると、対応するオンライン マニュアル ページが開きます。

Index

ユーザ ガイドの全索引が表示されます。文字をクリックすると、索引の特定の項に移動します。適切なトピック エントリをクリックすると、対応するオンライン マニュアル ページが開きます。

関連マニュアル


) 初版発行後、印刷物または電子マニュアルのアップデートを行う場合があります。マニュアルのアップデートについては、Cisco.com で確認してください。


次の項では、ACS および関連項目のさまざまな関連マニュアルを紹介します。

TACACS+ 関連マニュアル

Cisco TACACS+ プロトコルの概要:

http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080094e99.shtml

ネットワーク アドミッション コントロール(NAC)関連マニュアル

NAC に関する一般的な情報、および NAC に関する補足 Web ページへのリンク:

http://www.cisco.com/go/NAC

NAC の技術マニュアルに関する情報:

http://www.cisco.com/en/US/netsol/ns617/networking_solutions_documentation_roadmap09186a008066499c.html

Requests for Comments(RFC)

ACS で使用されている一部のセキュリティ プロトコルに関する説明:

RFC 2865: Remote Authentication Dial In User Service(RADIUS)

http://www.rfc-archive.org/getrfc.php?rfc=2865

RFC 3748: PPP Extensible Authentication Protocol (EAP)

http://www.rfc-archive.org/getrfc.php?rfc=3748

RFC 4346: Transport Layer Security (TLS) Protocol Version 1.1

http://www.rfc-archive.org/getrfc.php?rfc=4346

RFC PPP EAP TLS Authentication Protoco l

http://www.rfc-archive.org/getrfc.php?rfc=2716

テクノロジーに関するホワイト ペーパー

Cisco.com および Cisco Connection Online(CCO)には、ネットワーク セキュリティの基本概念や、ACS のインストールを計画、設定するための情報がまとめられたホワイト ペーパーが多数あります。

ACS 関連のホワイト ペーパー一覧:

http://www.cisco.com/en/US/partner/products/sw/secursw/ps2086/prod_white_papers_list.html

関連項目の補足ホワイト ペーパー:

Network Security Policy: Best Practices White Paper

http://www.cisco.com/en/US/tech/tk869/tk769/technologies_white_paper09186a008014f945.shtml

Delivering End-to-End Security in Policy-Based Networks

http://www.cisco.com/warp/public/cc/pd/nemnsw/cap/tech/deesp_wp.htm

Cisco IOS Security Configuration Guide

http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/secur_c/scdoverv.htm

Extensible Authentication Protocol Transport Layer Security Deployment Guide for Wireless LAN Networks

http://www.cisco.com/en/US/products/hw/wireless/ps430/products_white_paper09186a008009256b.shtml

質問と回答のページ

Cisco EAP-FAST に関する一般的な質問と回答は Cisco EAP-FAST Q&A ページを参照:

http://www.cisco.com/en/US/products/hw/wireless/ps430/products_qanda_item09186a00802030dc.shtml

チュートリアル

「ACS Primer」ACS 4.0 のトレーニング コース:

http://www.cisco.com/application/pdf/en/us/guest/products/ps2086/c1161/cdccont_0900aecd8040daa7.pdf

ソフトウェアのダウンロード

Cisco Authentication Agent など、このマニュアルに記載されているシスコのソフトウェアは、Cisco Software Center からダウンロードできます。

http://www.cisco.com/public/sw-center/