Cisco セキュリティ アプライアンス コマンドライン コンフィギュレーション ガイド v.8.0
アプリケーション レイヤ プロトコル検査の 適用
アプリケーション レイヤ プロトコル検査の適用
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 20MB) | フィードバック

目次

アプリケーション レイヤ プロトコル検査の適用

検査エンジンの概要

アプリケーション プロトコル検査を使用するタイミング

検査に関する制限事項

デフォルトの検査ポリシー

アプリケーション検査の設定

CTIQBE 検査

CTIQBE 検査の概要

制限事項

CTIQBE 検査の確認と監視

DCERPC 検査

DCERPC の概要

検査制御を追加するための DCERPC 検査ポリシー マップの設定

DNS 検査

DNS アプリケーション検査の動作

DNS リライトの動作

DNS リライトの設定

DNS リライト用の static コマンドの使用

DNS リライト用の alias コマンドの使用

2 つの NAT ゾーンを持つ DNS リライトの設定

3 つの NAT ゾーンを持つ DNS リライト

3 つの NAT ゾーンを持つ DNS リライトの設定

DNS 検査の確認と監視

検査制御を追加するための DNS 検査ポリシー マップの設定

ESMTP 検査

検査制御を追加するための ESMTP 検査ポリシー マップの設定

FTP 検査

FTP 検査の概要

strict オプションの使用

検査制御を追加するための FTP 検査ポリシー マップの設定

FTP 検査の確認と監視

GTP 検査

GTP 検査の概要

検査制御を追加するための GTP 検査ポリシー マップの設定

GTP 検査の確認と監視

H.323 検査

H.323 検査の概要

H.323 の動作

制限事項

検査制御を追加するための H.323 検査ポリシー マップの設定

H.323 および H.225 タイムアウト値の設定

H.323 検査の確認と監視

H.225 セッションの監視

H.245 セッションの監視

H.323 RAS セッションの監視

HTTP 検査

HTTP 検査の概要

検査制御を追加するための HTTP 検査ポリシー マップの設定

インスタント メッセージ検査

インスタント メッセージ検査の概要

検査制御を追加するためのインスタント メッセージ検査ポリシー マップの設定

ICMP 検査

ICMP エラー検査

ILS 検査

MGCP 検査

MGCP 検査の概要

検査制御を追加するための MGCP 検査ポリシー マップの設定

MGCP タイムアウト値の設定

MGCP 検査の確認と監視

MMP 検査

TLS プロキシ用 MMP 検査の設定

NetBIOS 検査

検査制御を追加するための NetBIOS 検査ポリシー マップの設定

PPTP 検査

RADIUS アカウンティング検査

検査制御を追加するための RADIUS 検査ポリシー マップの設定

RSH 検査

RTSP 検査

RTSP 検査の概要

RealPlayer の使用

制限事項

検査制御を追加するための RTSP 検査ポリシー マップの設定

SIP 検査

SIP 検査の概要

SIP インスタント メッセージ

検査制御を追加するための SIP 検査ポリシー マップの設定

SIP タイムアウト値の設定

SIP 検査の確認と監視

Skinny(SCCP)検査

SCCP 検査の概要

Cisco IP Phone のサポート

制限事項

SCCP 検査の確認と監視

検査制御を追加するための Skinny(SCCP)検査ポリシー マップの設定

SMTP および拡張 SMTP 検査

SNMP 検査

SQL*Net 検査

Sun RPC 検査

Sun RPC 検査の概要

Sun RPC サービスの管理

Sun RPC 検査の確認と監視

TFTP 検査

XDMCP 検査

アプリケーション レイヤ プロトコル検査の適用

この章では、アプリケーション レイヤ プロトコル検査を設定する方法について説明します。検査エンジンは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロトコルでは、高速パスでパケットを渡すのではなく、セキュリティ アプライアンスで詳細なパケット検査を行う必要があります(高速パスの詳細については、「ステートフル インスペクションの概要」を参照)。そのため、検査エンジンがスループット全体に影響を与えることがあります。

セキュリティ アプライアンスでは、デフォルトでいくつかの一般的な検査エンジンがイネーブルになっていますが、ネットワークによっては他の検査エンジンをイネーブルにしなければならない場合があります。この章は、次の項で構成されています。

「検査エンジンの概要」

「アプリケーション プロトコル検査を使用するタイミング」

「検査に関する制限事項」

「デフォルトの検査ポリシー」

「アプリケーション検査の設定」

「CTIQBE 検査」

「DCERPC 検査」

「DNS 検査」

「ESMTP 検査」

「FTP 検査」

「GTP 検査」

「H.323 検査」

「HTTP 検査」

「インスタント メッセージ検査」

「ICMP 検査」

「ICMP エラー検査」

「ILS 検査」

「MGCP 検査」

「MMP 検査」

「NetBIOS 検査」

「PPTP 検査」

「RADIUS アカウンティング検査」

「RSH 検査」

「RTSP 検査」

「SIP 検査」

「Skinny(SCCP)検査」

「SMTP および拡張 SMTP 検査」

「SNMP 検査」

「SQL*Net 検査」

「Sun RPC 検査」

「TFTP 検査」

「XDMCP 検査」

検査エンジンの概要

この項は、次の内容で構成されています。

「アプリケーション プロトコル検査を使用するタイミング」

「検査に関する制限事項」

「デフォルトの検査ポリシー」

アプリケーション プロトコル検査を使用するタイミング

ユーザが接続を確立すると、セキュリティ アプライアンスはアクセス リストと照合してパケットをチェックし、アドレス変換を作成し、高速パスでのセッション用にエントリを作成して、後続のパケットが時間のかかるチェックをバイパスできるようにします。ただし、高速パスは予測可能なポート番号に基づいており、パケット内部のアドレス変換を実行しません。

多くのプロトコルは、セカンダリの TCP ポートまたは UDP ポートを開きます。予約済みポート上の初期セッションは、ダイナミックに割り当てられたポート番号をネゴシエートするために使用されます。

パケットに IP アドレスを埋め込むアプリケーションもあります。この IP アドレスは送信元アドレスと一致する必要があり、通常、セキュリティ アプライアンスを通過するときに変換されます。

これらのアプリケーションを使用する場合は、アプリケーション検査をイネーブルにする必要があります。

IP アドレスを埋め込むサービスに対してアプリケーション検査をイネーブルにすると、セキュリティ アプライアンスは埋め込まれたアドレスを変換し、チェックサムや変換の影響を受けたその他のフィールドを更新します。

ダイナミックに割り当てられたポートを使用するサービスに対してアプリケーション検査をイネーブルにすると、セキュリティ アプライアンスはセッションを監視してダイナミックに割り当てられたポートを特定し、所定のセッションの間、それらのポートでのデータ交換を許可します。

検査に関する制限事項

アプリケーション プロトコル検査には次の制限事項があります。

検査が必要なマルチメディア セッションのステート情報は、ステートフル フェールオーバーのステート リンク経由では渡されません。GTP は例外で、ステート リンクで複製されます。

一部の検査エンジンは、PAT、NAT、外部 NAT、または同一セキュリティ インターフェイス間の NAT をサポートしません。NAT サポートの詳細については、「デフォルトの検査ポリシー」を参照してください。

すべてのアプリケーション検査で、適応型セキュリティ アプライアンスは、同時アクティブ データ接続数を 200 に制限します。たとえば、ある FTP クライアントが複数のセカンダリ接続を開く場合、FTP 検査エンジンによって許可されるアクティブな接続は 200 だけであり、201 番目の接続はドロップされ、適応型セキュリティ アプライアンスはシステム エラー メッセージを生成します。

デフォルトの検査ポリシー

デフォルトでは、すべてのデフォルト アプリケーション検査トラフィックに一致するポリシーがコンフィギュレーションに含まれ、すべての検査がすべてのインターフェイスのトラフィックに適用されます(グローバル ポリシー)。デフォルト アプリケーション検査トラフィックには、各プロトコルのデフォルト ポートへのトラフィックが含まれます。適用できるグローバル ポリシーは 1 つだけのため、グローバル ポリシーを変更する場合(標準以外のポートに検査を適用する場合や、デフォルトでイネーブルになっていない検査を追加する場合など)は、デフォルトのポリシーを編集するか、デフォルトのポリシーをディセーブルにして新しいポリシーを適用する必要があります。

表 26-1 にサポートされているすべての検査、デフォルトのクラス マップで使用されるデフォルトのポート、およびデフォルトでオンになっている検査エンジン(太字)を示します。この表には、NAT に関する制限事項も含まれています。

 

表 26-1 サポートされているアプリケーション検査エンジン

アプリケーション1
デフォルト ポート
NAT に関する制限事項
標準2
コメント

CTIQBE

TCP/2748

--

--

--

DNS over UDP

UDP/53

NAT サポートは、WINS 経由の名前解決では使用できません。

RFC 1123

PTR レコードは変更されません。

FTP

TCP/21

--

RFC 959

--

GTP

UDP/3386
UDP/2123

--

--

特別なライセンスが必要です。

H.323 H.225 および RAS

TCP/1720 UDP/1718
UDP(RAS)1718-1719

同一セキュリティのインターフェイス上の NAT はサポートされません。

スタティック PAT はサポートされません。

ITU-T H.323、H.245、H225.0、Q.931、Q.932

--

HTTP

TCP/80

--

RFC 2616

ActiveX と Java を除去する場合の MTU 制限に注意してください。MTU が小さすぎて Java タグまたは ActiveX タグを 1 つのパケットに納められない場合は、除去の処理は行われません。

ICMP

--

--

--

すべての ICMP トラフィックは、デフォルトのクラス マップで照合されます。

ICMP ERROR

--

--

--

すべての ICMP トラフィックは、デフォルトのクラス マップで照合されます。

ILS(LDAP)

TCP/389

PAT はサポートされません。

--

--

MGCP

UDP/2427、2727

--

RFC 2705bis-05

--

MMP

TCP/TLS 5443

埋め込み NAT またはセカンダリ接続はありません。

--

--

NetBIOS Name Server over IP

UDP/137、138(送信元ポート)

--

--

NetBIOS は、NBNS UDP ポート 137 および NBDS UDP ポート 138 に対してパケットの NAT 処理を実行することでサポートされます。

PPTP

TCP/1723

--

RFC 2637

--

RADIUS Accounting

1646

--

RFC 2865

--

RSH

TCP/514

PAT はサポートされません。

Berkeley UNIX

--

RTSP

TCP/554

PAT はサポートされません。

外部 NAT はサポートされません。

RFC 2326、2327、1889

HTTP クローキングは処理しません。

SIP

TCP/5060
UDP/5060

外部 NAT はサポートされません。

同一セキュリティのインターフェイス上の NAT はサポートされません。

RFC 3261

--

SKINNY(SCCP)

TCP/2000

外部 NAT はサポートされません。

同一セキュリティのインターフェイス上の NAT はサポートされません。

--

一定の条件下で、Cisco IP Phone 設定をアップロード済みの TFTP は処理しません。

SMTP および ESMTP

TCP/25

--

RFC 821, 1123

--

SNMP

UDP/161、162

NAT および PAT はサポートされません。

RFC 1155、1157、1212、1213、1215

v.2 RFC 1902 ~ 1908、v.3 RFC 2570 ~ 2580

SQL*Net

TCP/1521

--

--

v.1 および v.2

Sun RPC over UDP および TCP

UDP/111

NAT および PAT はサポートされません。

--

デフォルトのクラス マップには UDP ポート 111 が含まれています。TCP ポート 111 の Sun RPC 検査をイネーブルにする場合は、TCP ポート 111 を照合する新しいクラス マップを作成し、クラスをポリシーに追加してから、 inspect sunrpc コマンドをそのクラスに適用する必要があります。

TFTP

UDP/69

--

RFC 1350

ペイロード IP アドレスは変換されません。

XDCMP

UDP/177

NAT および PAT はサポートされません。

--

--

1.デフォルト ポートに対してデフォルトでイネーブルになっている検査エンジンは太字で表記されています。

2.セキュリティ アプライアンスは、これらの標準に準拠していますが、検査対象のパケットには準拠を強制しません。たとえば、各 FTP コマンドは特定の順序である必要がありますが、セキュリティ アプライアンスによってその順序を強制されることはありません。

デフォルト ポリシー コンフィギュレーションには、次のコマンドが含まれます。

class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
service-policy global_policy global
 

アプリケーション検査の設定

この機能はモジュラ ポリシー フレームワークを使用するため、アプリケーション検査の実装は、トラフィックの特定、トラフィックへのアプリケーション検査の適用、およびインターフェイスでの検査のアクティブ化で構成されます。アプリケーションによっては、検査をイネーブルにすると特別なアクションを実行できるものがあります。詳細については「モジュラ ポリシー フレームワークの使用」を参照してください。

一部のアプリケーションでは、デフォルトで検査がイネーブルになっています。詳細については、「デフォルトの検査ポリシー」を参照してください。この項を参照して検査ポリシーを変更してください。

アプリケーション検査を設定するには、次の手順を実行します。


ステップ 1 検査するトラフィックを特定するには、通過トラフィック用または管理トラフィック用のレイヤ 3/4 クラス マップを追加します。詳細については、「通過トラフィック用のレイヤ 3/4 クラス マップの作成」および「管理トラフィック用のレイヤ 3/4 クラス マップの作成」を参照してください。管理レイヤ 3/4 クラス マップは、RADIUS アカウンティングの検査だけで使用できます。

通過トラフィックのデフォルトのレイヤ 3/4 クラス マップの名前は「inspection_default」です。このクラス マップは、特殊な match コマンドの match default-inspection-traffic を使用して、トラフィックを各アプリケーション プロトコルのデフォルト ポートと照合します。

match access-list コマンドを match default-inspection-traffic コマンドとともに指定すると、照合するトラフィックを特定の IP アドレスに絞り込むことができます。 match default-inspection-traffic コマンドによって照合するポートが指定されるため、アクセス リストのポートはすべて無視されます。

標準以外のポートを照合する場合は、標準以外のポート用に新しいクラス マップを作成してください。各検査エンジンの標準ポートについては、「デフォルトの検査ポリシー」を参照してください。必要に応じて同じポリシー内に複数のクラス マップを組み合せることができるため、照合するトラフィックに応じたクラス マップを作成することができます。ただし、トラフィックが検査コマンドを含むクラス マップと一致し、その後同様に検査コマンドを含む別のクラス マップとも一致した場合、最初に一致したクラスだけが使用されます。たとえば、SNMP では inspection_default クラスを照合します。SNMP 検査をイネーブルにするには、ステップ 5 に従って、デフォルト クラスの SNMP 検査をイネーブルにします。SNMP を照合する他のクラスを追加しないでください。

たとえば、デフォルトのクラス マップを使用して、検査を 10.1.1.0 から 192.168.1.0 へのトラフィックに限定するには、次のコマンドを入力します。

hostname(config)# access-list inspect extended permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0
hostname(config)# class-map inspection_default
hostname(config-cmap)# match access-list inspect
 

次のコマンドを使用して、クラス マップ全体を表示します。

hostname(config-cmap)# show running-config class-map inspection_default
!
class-map inspection_default
match default-inspection-traffic
match access-list inspect
!
 

ポート 21 とポート 1056(標準以外のポート)の FTP トラフィックを検査するには、それらのポートを指定するアクセス リストを作成し、新しいクラス マップに割り当てます。

hostname(config)# access-list ftp_inspect extended permit tcp any any eq 21
hostname(config)# access-list ftp_inspect extended permit tcp any any eq 1056
hostname(config)# class-map new_inspection
hostname(config-cmap)# match access-list ftp_inspect
 

ステップ 2 (オプション)一部の検査エンジンでは、トラフィックに検査を適用するときの追加パラメータを制御できます。アプリケーションの検査ポリシー マップを設定する方法については、次の項を参照してください。

DCERPC:「検査制御を追加するための DCERPC 検査ポリシー マップの設定」を参照してください。

DNS:「検査制御を追加するための DNS 検査ポリシー マップの設定」を参照してください。

ESMTP:「検査制御を追加するための ESMTP 検査ポリシー マップの設定」を参照してください。

FTP:「検査制御を追加するための FTP 検査ポリシー マップの設定」を参照してください。

GTP:「検査制御を追加するための GTP 検査ポリシー マップの設定」を参照してください。

H323:「検査制御を追加するための H.323 検査ポリシー マップの設定」を参照してください。

HTTP:「検査制御を追加するための HTTP 検査ポリシー マップの設定」を参照してください。

Instant Messaging:「検査制御を追加するためのインスタント メッセージ検査ポリシー マップの設定」を参照してください。

MGCP:「検査制御を追加するための MGCP 検査ポリシー マップの設定」を参照してください。

NetBIOS:「検査制御を追加するための NetBIOS 検査ポリシー マップの設定」を参照してください。

RADIUS Accounting:「検査制御を追加するための RADIUS 検査ポリシー マップの設定」を参照してください。

RTSP:「検査制御を追加するための RTSP 検査ポリシー マップの設定」を参照してください。

SIP:「検査制御を追加するための SIP 検査ポリシー マップの設定」を参照してください。

Skinny:「検査制御を追加するための Skinny(SCCP)検査ポリシー マップの設定」を参照してください。

SNMP:「SNMP 検査」を参照してください。

ステップ 3 クラス マップ トラフィックで実行するアクションを設定するレイヤ 3/4 ポリシー マップを追加または編集するには、次のコマンドを入力します。

hostname(config)# policy-map name
hostname(config-pmap)#
 

デフォルトのポリシー マップの名前は「global_policy」です。このポリシー マップには、「デフォルトの検査ポリシー」で示されているデフォルトの検査が含まれています。デフォルトのポリシーを変更する場合(検査を追加または削除する場合や、追加のクラス マップを特定してアクションを割り当てる場合など)は、 global_policy を名前として入力します。

ステップ 4 アクションを割り当てるステップ 1 のクラス マップを特定するには、次のコマンドを入力します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

デフォルトのポリシー マップを編集する場合、デフォルトのポリシー マップには inspection_default クラス マップが含まれています。このクラスのアクションを編集する場合は、 inspection_default を名前として入力します。このポリシー マップに別のクラス マップを追加する場合は、異なる名前を指定してください。必要に応じて同じポリシー内に複数のクラス マップを組み合せることができるため、照合するトラフィックに応じたクラス マップを作成することができます。ただし、トラフィックが検査コマンドを含むクラス マップと一致し、その後同様に検査コマンドを含む別のクラス マップとも一致した場合、最初に一致したクラスだけが使用されます。たとえば、SNMP では inspection_default クラス マップを照合します。SNMP 検査をイネーブルにするには、ステップ 5 に従って、デフォルト クラスの SNMP 検査をイネーブルにします。SNMP を照合する他のクラスを追加しないでください。

ステップ 5 次のコマンドを入力して、アプリケーション検査をイネーブルにします。

hostname(config-pmap-c)# inspect protocol
 

protocol には、次のいずれかの値を指定します。

 

表 26-2 protocol のキーワード

キーワード
注意

ctiqbe

--

dcerpc [ map_name ]

「検査制御を追加するための DCERPC 検査ポリシー マップの設定」に従って DCERPC 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

dns [ map_name ]

「検査制御を追加するための DNS 検査ポリシー マップの設定」に従って DNS 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。DNS 検査のデフォルトのポリシー マップの名前は「preset_dns_map」です。このデフォルトの検査ポリシー マップでは、DNS パケットの最大長が 512 バイトに設定されています。

esmtp [ map_name ]

「検査制御を追加するための ESMTP 検査ポリシー マップの設定」に従って ESMTP 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

ftp [ strict [ map_name ]]

strict キーワードを使用して、Web ブラウザが FTP 要求内の埋め込みコマンドを送信できないようにすることで、保護されたネットワークのセキュリティを向上させます。詳細については、「strict オプションの使用」を参照してください。

「検査制御を追加するための FTP 検査ポリシー マップの設定」に従って FTP 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

gtp [ map_name ]

「検査制御を追加するための GTP 検査ポリシー マップの設定」に従って GTP 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

h323 h225 [ map_name ]

「検査制御を追加するための H.323 検査ポリシー マップの設定」に従って H323 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

h323 ras [ map_name ]

「検査制御を追加するための H.323 検査ポリシー マップの設定」に従って H323 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

http [ map_name ]

「検査制御を追加するための HTTP 検査ポリシー マップの設定」に従って HTTP 検査ポリシー マップを追加した場合は、このコマンドでマップ名を指定します。

icmp

--

icmp error

--

ils

--

im [ map_name ]

「検査制御を追加するためのインスタント メッセージ検査ポリシー マップの設定」に従ってインスタント メッセージ検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

mgcp [ map_name ]

「検査制御を追加するための MGCP 検査ポリシー マップの設定」に従って MGCP 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

mmp tls-proxy [name ]

--

netbios [ map_name ]

「検査制御を追加するための NetBIOS 検査ポリシー マップの設定」に従って NetBIOS 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

pptp

--

radius-accounting [ map_name ]

radius-accounting キーワードは、管理クラス マップだけで使用できます。管理クラス マップの作成の詳細については、「管理トラフィック用のレイヤ 3/4 クラス マップの作成」を参照してください。

「検査制御を追加するための RADIUS 検査ポリシー マップの設定」に従って RADIUS アカウンティング検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

rsh

--

rtsp [ map_name ]

「検査制御を追加するための RTSP 検査ポリシー マップの設定」に従って NetBIOS 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

sip [ map_name ]

「検査制御を追加するための SIP 検査ポリシー マップの設定」に従って SIP 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

skinny [ map_name ]

「検査制御を追加するための Skinny(SCCP)検査ポリシー マップの設定」に従って Skinny 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

snmp [ map_name ]

「SNMP 検査」に従って SNMP 検査ポリシー マップを追加した場合は、このコマンドでマップ名を特定します。

sqlnet

--

sunrpc

デフォルトのクラス マップには UDP ポート 111 が含まれています。TCP ポート 111 の Sun RPC 検査をイネーブルにする場合は、TCP ポート 111 を照合する新しいクラス マップを作成し、クラスをポリシーに追加してから、 inspect sunrpc コマンドをそのクラスに適用する必要があります。

tftp

--

xdmcp

--

ステップ 6 1 つ以上のインターフェイスでポリシー マップをアクティブにするには、次のコマンドを入力します。

hostname(config)# service-policy policymap_name {global | interface interface_name}
 

ここで、 global はポリシー マップをすべてのインターフェイスに適用し、 interface はポリシーを 1 つのインターフェイスに適用します。デフォルトでは、デフォルトのポリシー マップ「global_policy」がグローバルに適用されます。グローバル ポリシーは 1 つしか適用できません。インターフェイスのグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで上書きできます。各インターフェイスには、ポリシー マップを 1 つだけ適用できます。


 

CTIQBE 検査

この項では、CTIQBE アプリケーション検査について説明します。次の項目を取り上げます。

「CTIQBE 検査の概要」

「制限事項」

「CTIQBE 検査の確認と監視」

CTIQBE 検査の概要

CTIQBE プロトコル検査では、NAT、PAT、および双方向 NAT がサポートされます。これにより、Cisco IP SoftPhone と他の Cisco TAPI/JTAPI アプリケーションが Cisco CallManager と連動し、 セキュリティ アプライアンス を越えてコール セットアップを行えるようになりまます。

TAPI と JTAPI は、多くの Cisco VoIP アプリケーションで使用されます。CTIQBE は、Cisco TSP が Cisco CallManager と通信するために使用されます。

制限事項

CTIQBE アプリケーション検査の使用時に適用される制限を次にまとめます。

CTIQBE アプリケーション検査は、alias コマンドを使用するコンフィギュレーションをサポートしません。

CTIQBE コールのステートフル フェールオーバーはサポートされていません。

debug ctiqbe コマンドを入力すると、メッセージの伝送が遅れる場合があり、リアルタイム環境のパフォーマンスに影響することがあります。このデバッグまたはログをイネーブルにし、セキュリティ アプライアンスを介して Cisco IP SoftPhone でコール セットアップを完了できない場合は、Cisco IP SoftPhone の動作するシステムで Cisco TSP 設定のタイムアウト値を増やしてください。

次に、CTIQBE アプリケーション検査を特定の事例で使用する際に、特別に注意が必要な事項をまとめます。

2 つの Cisco IP SoftPhone が異なる Cisco CallManager に登録されていて、各 CallManager がセキュリティ アプライアンスの異なるインターフェイスに接続されている場合、これら 2 つの電話間のコールは失敗します。

Cisco IP SoftPhone と比較して Cisco CallManager の方がセキュリティの高いインターフェイス上に配置されている状態で、NAT または外部 NAT が Cisco CallManager IP アドレスに必要な場合、マッピングはスタティックである必要があります。Cisco IP SoftPhone では Cisco CallManager IP アドレスを PC 上の Cisco TSP コンフィギュレーションで明示的に指定することが必要なためです。

PAT または外部 PAT を使用しているときに Cisco CallManager の IP アドレスを変換する場合、Cisco IP SoftPhone を正常に登録するためには、TCP ポート 2748 を PAT(インターフェイス)アドレスの同一ポートに対してスタティックにマッピングする必要があります。CTIQBE 受信ポート(TCP 2748)は固定されていて、Cisco CallManager、Cisco IP SoftPhone、Cisco TSP のいずれにおいてもユーザによる設定はできません。

CTIQBE 検査の確認と監視

show ctiqbe コマンドは、セキュリティ アプライアンスを越えて確立されている CTIQBE セッションに関する情報を表示します。CTIQBE 検査エンジンで割り当てられたメディア接続に関する情報が表示されます。

次の条件における show ctiqbe コマンドの出力例を示します。セキュリティ アプライアンスを越えてセットアップされているアクティブ CTIQBE セッションは 1 つだけです。そのセッションは、ローカル アドレス 10.0.0.99 の内部 CTI デバイス(たとえば、Cisco IP SoftPhone)と 172.29.1.77 の外部 Cisco CallManager の間で確立されています。ここで、TCP ポート 2748 は、Cisco CallManager です。このセッションのハートビート間隔は 120 秒です。

hostname# # show ctiqbe
 
Total: 1
LOCAL FOREIGN STATE HEARTBEAT
---------------------------------------------------------------
1 10.0.0.99/1117 172.29.1.77/2748 1 120
----------------------------------------------
RTP/RTCP: PAT xlates: mapped to 172.29.1.99(1028 - 1029)
----------------------------------------------
MEDIA: Device ID 27 Call ID 0
Foreign 172.29.1.99 (1028 - 1029)
Local 172.29.1.88 (26822 - 26823)
----------------------------------------------
 

CTI デバイスは、すでに CallManager に登録されています。デバイスの内部アドレスおよび RTP 受信ポートは 172.29.1.99 の UDP ポート 1028 に PAT 変換されています。RTCP 受信ポートは UDP 1029 に PAT 変換されています。

RTP/RTCP: PAT xlates: で始まる行は、内部 CTI デバイスが外部 CallManager に登録され、CTI デバイスのアドレスとポートがその外部インターフェイスに PAT 変換されている場合に限り表示されます。この行は、CallManager が内部インターフェイス上にある場合、または内部 CTI デバイスのアドレスとポートが、CallManager が使用しているのと同じ外部インターフェイスに変換されている場合は、表示されません。

この出力は、コールがこの CTI デバイスと 172.29.1.88 にある別の電話機の間に確立されていることを示します。他の電話機の RTP および RTCP 受信ポートは、UDP 26822 および 26823 です。セキュリティ アプライアンスは 2 番目の電話機と CallManager に関連する CTIQBE セッション レコードを維持できないため、他の電話機は、CallManager と同じインターフェイス上にあります。CTI デバイス側のアクティブ コール レッグは、Device ID 27 および Call ID 0 で確認できます。

これらの CTIBQE 接続の show xlate debug コマンドの出力例を示します。

hostname# show xlate debug
3 in use, 3 most used
Flags: D - DNS, d - dump, I - identity, i - inside, n - no random,
r - portmap, s - static
TCP PAT from inside:10.0.0.99/1117 to outside:172.29.1.99/1025 flags ri idle 0:00:22 timeout 0:00:30
UDP PAT from inside:10.0.0.99/16908 to outside:172.29.1.99/1028 flags ri idle 0:00:00 timeout 0:04:10
UDP PAT from inside:10.0.0.99/16909 to outside:172.29.1.99/1029 flags ri idle 0:00:23 timeout 0:04:10
 

show conn state ctiqbe コマンドは、CTIQBE 接続のステータスを表示します。出力には、CTIQBE 検査エンジンによって割り当てられたメディア接続が「C」フラグで示されます。次に、 show conn state ctiqbe コマンドの出力例を示します。

hostname# show conn state ctiqbe
1 in use, 10 most used
hostname# show conn state ctiqbe detail
1 in use, 10 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,
E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
i - incomplete, J - GTP, j - GTP data, k - Skinny media,
M - SMTP data, m - SIP media, O - outbound data, P - inside back connection,
q - SQL*Net data, R - outside acknowledged FIN,
R - UDP RPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up
 

DCERPC 検査

この項では、DCERPC 検査エンジンについて説明します。次の項目を取り上げます。

「DCERPC の概要」

「検査制御を追加するための DCERPC 検査ポリシー マップの設定」

DCERPC の概要

DCERPC は、Microsoft の分散クライアント/サーバ アプリケーションで広く使われているプロトコルです。このプロトコルによって、ソフトウェア クライアントがサーバにあるプログラムをリモートで実行できるようになります。

DCERPC 検査マップは、TCP の予約済みポート 135 を経由した、Endpoint Mapper(EPM; エンドポイント マッパー)と呼ばれるサーバとクライアント間のネイティブ TCP の通信を検査します。クライアント用に EPM のマッピングとルックアップ操作がサポートされています。クライアントとサーバは、どのセキュリティ ゾーンにあってもかまいません。埋め込まれたサーバの IP アドレスとポート番号は、EPM からの応答メッセージで受け取ります。クライアントが EPM から返されたサーバのポートに対して複数の接続を試みる可能性があるため、ピンホールが複数使用できます。ユーザは複数のピンホールのタイムアウトを設定できます。


) DCERPC 検査は、セキュリティ アプライアンスを通じてピンホールを開く EPM サーバとクライアント間の通信だけをサポートします。EPM サーバを使用せずに RPC 通信を実行するクライアントは DCERPC 検査ではサポートされません。


通常、ソフトウェア クライアントは次の方法により、EPM サーバ上のプログラムをリモートで実行します。


ステップ 1 クライアントは、必要な DCERPC サービスに動的に割り当てられているポート番号を EPM サーバに照会します。EPM サーバは予約済み TCP ポート 135 で受信します。

ステップ 2 クライアントと EPM サーバ間にあるセキュリティ アプライアンスがこの通信を代行受信します。

ステップ 3 EPM サーバは、DCERPC サービスで使用可能なポート番号を提示します。

ステップ 4 セキュリティ アプライアンスがその DCERPC サービス用のピンホールを開きます。


) ピンホールには送信元ポート用の値がないため、送信元ポートの値は 0 に設定されます。送信元 IP アドレス、宛先 IP アドレス、宛先ポートが提示されます。


ステップ 5 このピンホールを使用して、クライアントは提示されたポートで DCERPC サービスに接続を試みます。

ステップ 6 セキュリティ アプライアンスは、接続が許可されたことを検出し、DCERPC サービスを提供しているサーバのインスタンスへのセカンダリ接続を作成します。セカンダリ接続を作成するときは、セキュリティ アプライアンスは必要に応じて NAT を適用します。


) ピンホールのタイムアウトに達すると、セキュリティ アプライアンスは、ピンホールを廃棄し、クライアントから EPM サーバへの新しい接続を許可します。この場合、既存の接続は独立しているため、継続されます。



 

検査制御を追加するための DCERPC 検査ポリシー マップの設定

DCERPC 検査の追加のパラメータを指定するには、DCERPC 検査ポリシー マップを作成します。作成した検査ポリシー マップは、「アプリケーション検査の設定」に従って DCERPC 検査をイネーブルにすると適用できます。

DCERPC 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 DCERPC 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect dcerpc policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 2 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 3 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. DCERPC のピンホールのタイムアウトを設定して、グローバルなシステム ピンホールのタイムアウト(2 分)を上書きするには、次のコマンドを入力します。

hostname(config-pmap-p)# timeout pinhole hh:mm:ss
 

hh:mm:ss 引数には、ピンホール接続のタイムアウトを指定します。指定できる値は 0:0:1 ~ 1193:0:0 です。

c. エンドポイント マッパーのトラフィックのオプションを設定するには、次のコマンドを入力します。

hostname(config-pmap-p)# endpoint-mapper [epm-service-only] [lookup-operation [timeout hh:mm:ss]]
 

hh:mm:ss 引数には、ルックアップ操作で生成されたピンホールのタイムアウトを指定します。ルックアップ操作にタイムアウトが設定されていない場合は、timeout pinhole コマンドで指定した値かデフォルトの値が使用されます。 epm-service-only キーワードを指定すると、バインド中にエンドポイント マッパー サービスを実行し、このサービスのトラフィックだけが処理されるようにします。 lookup-operation キーワードを指定すると、エンドポイント マッパー サービスのルックアップ操作をイネーブルにします。


 

次の例は、DCERPC 検査ポリシー マップを定義し、DCERPC のピンホールのタイムアウトを設定する方法を示しています。

hostname(config)# policy-map type inspect dcerpc dcerpc_map
hostname(config-pmap)# timeout pinhole 0:10:00
 
hostname(config)# class-map dcerpc
hostname(config-cmap)# match port tcp eq 135
 
hostname(config)# policy-map global-policy
hostname(config-pmap)# class dcerpc
hostname(config-pmap-c)# inspect dcerpc dcerpc-map
 
hostname(config)# service-policy global-policy global
 

DNS 検査

この項では、DNS アプリケーション検査について説明します。次の項目を取り上げます。

「DNS アプリケーション検査の動作」

「DNS リライトの動作」

「DNS リライトの設定」

「DNS 検査の確認と監視」

DNS アプリケーション検査の動作

セキュリティ アプライアンスは、DNS 応答を転送するとすぐに DNS クエリーに関連付けられた DNS セッションを切断します。セキュリティ アプライアンスはまた、メッセージ交換を監視して DNS 応答の ID が DNS クエリーの ID と一致することを確認します。

DNS 検査をイネーブルにすると(デフォルト)、セキュリティ アプライアンスは次の追加のタスクを実行します。

alias static 、および nat コマンドを使用して作成されたコンフィギュレーションに基づいて、DNS レコードを変換します(DNS リライト)。変換は、DNS 応答の A レコードだけに適用されるため、DNS リライトによって PTR レコードを必要とする逆ルックアップが影響を受けることはありません。


) 1 つの A レコードには複数の PAT 規則が適用可能で、使用する PAT 規則があいまいなため、DNS リライトは PAT には適用できません。


最大 DNS メッセージ長を指定します(デフォルトは 512 バイト、最大長は 65535 バイト)。セキュリティ アプライアンスは必要に応じてリアセンブリを実行し、パケット長が設定されている最大長よりも短いことを確認します。セキュリティ アプライアンスは、最大長を超えるパケットをドロップします。


maximum-length オプションを指定せずに inspect dns コマンドを入力した場合、DNS パケット サイズはチェックされません。


ドメイン名の長さを 255 バイトに制限し、ラベルの長さを 63 バイトに制限します。

DNS メッセージに圧縮ポインタが出現した場合、ポインタが参照するドメイン名の整合性を確認します。

圧縮ポインタのループがあるかどうかを確認します。

複数の DNS セッションが同じ 2 つのホスト間で発生し、セッションの 5 つのタプル(送信元/宛先 IP アドレス、送信元/宛先ポート、およびプロトコル)が同じものである場合、複数のセッションに対して接続が 1 つだけ作成されます。DNS ID は app_id で追跡され、各 app_id のアイドル タイマーは独立して実行されます。

app_id の有効期限はそれぞれ独立して満了するため、正当な DNS 応答がセキュリティ アプライアンスを通過できるのは、限られた期間内だけであり、リソースの継続使用はできません。ただし、 show conn コマンドを入力した場合、新しい DNS セッションによってリセットされている DNS 接続のアイドル タイマーが表示されます。これは共有 DNS 接続の性質によるものであり、仕様です。

DNS リライトの動作

DNS 検査がイネーブルであるとき、DNS リライトは、任意のインターフェイスから送信された DNS メッセージの NAT を完全にサポートします。

内部のネットワーク上のクライアントが、外部インターフェイス上の DNS サーバから送信される内部アドレスの DNS 解決を要求した場合、DNS A レコードは正しく変換されます。DNS 検査エンジンがディセーブルである場合、A レコードは変換されません。

DNS 検査がイネーブルのままである間、 alias 、static、または nat コマンドを使用して DNS リライトを設定できます。必要なコンフィギュレーションの詳細については、「DNS リライトの設定」を参照してください。

DNS リライトは次の 2 つの機能を実行します。

DNS クライアントがプライベート インターフェイスにある場合、 DNS 応答 のパブリック アドレス(ルーティング可能なアドレスまたは「マッピング」アドレス)をプライベート アドレス(「実際の」アドレス)に変換します。

DNS クライアントがパブリック インターフェイスにある場合、プライベート アドレスをパブリック アドレスに変換します。

図 26-1 では、DNS サーバは外部(ISP)ネットワークにあります。サーバの実際のアドレス(192.168.100.1)は、 static コマンドで ISP が割り当てたアドレス(209.165.200.5)にマッピングされています。内部インターフェイスの Web クライアントが http://server.example.com という URL の Web サーバにアクセスしようとすると、Web クライアントが動作するホストが、Web サーバの IP アドレスの解決を求める DNS 要求を DNS サーバに送信します。セキュリティ アプライアンスは、IP ヘッダーに含まれるルーティング不可の送信元アドレスを変換し、外部インターフェイスの ISP ネットワークに要求を転送します。DNS 応答が返されると、セキュリティ アプライアンスはアドレス変換を宛先アドレスだけではなく、DNS 応答の A レコードに含まれる、埋め込まれた Web サーバの IP アドレスにも適用します。結果として、内部ネットワーク上の Web クライアントは、内部ネットワーク上の Web サーバとの接続に使用する正しいアドレスを取得します。このような事例の設定手順については、「2 つの NAT ゾーンを持つ DNS リライトの設定」を参照してください。

図 26-1 DNS 応答に含まれるアドレスの変換(DNS リライト)

 

DNS リライトは、DNS 要求を作成するクライアントが DMZ ネットワークにあり、DNS サーバが内部インターフェイスにある場合にも機能します。この事例の詳細と設定手順については、「3 つの NAT ゾーンを持つ DNS リライト」を参照してください。

DNS リライトの設定

DNS リライトは、 alias 、static、または nat コマンドを使用して設定します。 alias コマンドと static コマンドはどちらを使用しても機能的には同じですが、新しく構成するときには、より正確であいまいさがない static コマンドを使用することをお勧めします。また、 static コマンドを使用する場合、DNS リライトは省略可能です。

この項では、 alias および static コマンドを使用して DNS リライトを設定する方法について説明します。単純な事例と、より複雑な事例で、 static コマンドを使用するための設定手順を示します。 nat コマンドの使用は、 static コマンドの使用に似ていますが、DNS リライトはスタティック マッピングではなくダイナミック変換に基づいています。

この項は、次の内容で構成されています。

「DNS リライト用の static コマンドの使用」

「2 つの NAT ゾーンを持つ DNS リライトの設定」

「3 つの NAT ゾーンを持つ DNS リライト」

「3 つの NAT ゾーンを持つ DNS リライトの設定」

alias nat 、および static コマンドの詳細なシンタックスおよびその他の機能については、『 Cisco Security Appliance Command Reference 』の対応するコマンドのページを参照してください。

DNS リライト用の static コマンドの使用

static コマンドを使用すると、特定のインターフェイスにある IP ネットワークのアドレスが、異なるインターフェイスの別の IP ネットワークのアドレスに変換されます。このコマンドのシンタックスは次のとおりです。

hostname(config)# static (real_ifc,mapped_ifc) mapped-address real-address dns
 

次の例は、内部インターフェイスのアドレス 192.168.100.10 を外部インターフェイスの 209.165.200.5 に変換するように指定しています。

hostname(config)# static (inside,outside) 209.165.200.225 192.168.100.10 dns
 

nat コマンドの使用は、static コマンドの使用に似ていますが、DNS リライトはスタティック マッピングではなくダイナミック変換に基づいています。


DNS リライト用の alias コマンドの使用

alias コマンドを使用すると、セキュリティ アプライアンスは、任意のインターフェイスにある IP ネットワークのアドレスが、異なるインターフェイスを通じて接続されている別の IP ネットワークのアドレスに変換されます。このコマンドのシンタックスは次のとおりです。

hostname(config)# alias (interface_name) mapped-address real-address
 

次の例では、内部インターフェイス以外の任意のインターフェイスの実際のアドレス(192.168.100.10)が、内部インターフェイスのマッピング アドレス( 209.165.200.225 )に変換されます。192.168.100.10 の場所が正確に定義されていないことに注意してください。

hostname(config)# alias (inside) 209.165.200.225 192.168.100.10
 

alias コマンドを使用して DNS リライトを設定する場合、マッピング アドレスに対してプロキシ ARP が実行されます。これを防ぐには、alias コマンドを入力した後、sysopt noproxyarp コマンドを入力して、プロキシ ARP をディセーブルにします。


2 つの NAT ゾーンを持つ DNS リライトの設定

図 26-1 の DNS リライトと類似の事例を実装するには、次の手順を実行します。


ステップ 1 Web サーバのスタティック変換を次のように作成します。

hostname(config)# static (real_ifc,mapped_ifc) mapped-address real-address netmask 255.255.255.255 dns
 

引数は次のとおりです。

real_ifc :実際のアドレスに接続されているインターフェイスの名前

mapped_ifc :アドレスのマッピング先とするインターフェイスの名前

mapped-address :Web サーバの変換後の IP アドレス

real-address :Web サーバの実際の IP アドレス

ステップ 2 Web サーバが HTTP 要求を受信するポートへのトラフィックを許可するアクセス リストを作成します。

hostname(config)# access-list acl-name extended permit tcp any host mapped-address eq port
 

引数は次のとおりです。

acl-name :アクセス リストに付けた名前

mapped-address :Web サーバの変換後の IP アドレス

port :Web サーバが HTTP 要求を受信する TCP ポート

ステップ 3 ステップ 2 で作成したアクセス リストをマッピング インターフェイスに適用します。これを行うには、 access-group コマンドを次のように使用します。

hostname(config)# access-group acl-name in interface mapped_ifc
 

ステップ 4 DNS 検査がディセーブルの場合、または最大 DNS パケット長を変更する場合は、DNS 検査を設定します。デフォルトで、DNS アプリケーション検査は、最大 DNS パケット長を 512 バイトとしてイネーブルになっています。設定手順については、「アプリケーション検査の設定」を参照してください。

ステップ 5 パブリック DNS サーバで、次のように Web サーバの A レコードを追加します。

domain-qualified-hostname. IN A mapped-address
 

domain-qualified-hostname には、ホスト名にドメイン サフィックスを付けて指定します(server.example.com など)。ホスト名の後ろのピリオドは重要です。 mapped-address には、Web サーバの変換後の IP アドレスを指定します。


 

次の例では、図 26-1 の事例のセキュリティ アプライアンスを設定しています。DNS 検査はすでにイネーブルになっていることが前提です。

hostname(config)# static (inside,outside) 209.165.200.225 192.168.100.1 netmask 255.255.255.255 dns
hostname(config)# access-list 101 permit tcp any host 209.165.200.225 eq www
hostname(config)# access-group 101 in interface outside
 

このコンフィギュレーションには、DNS サーバの次の A レコードが必要です。

server.example.com. IN A 209.165.200.225
 

3 つの NAT ゾーンを持つ DNS リライト

図 26-2 では、DNS 検査によってどのようにして NAT が最小コンフィギュレーションの DNS サーバと透過的に連携動作するかを示す、より複雑な事例を示します。このような事例の設定手順については、「3 つの NAT ゾーンを持つ DNS リライトの設定」を参照してください。

図 26-2 3 つの NAT ゾーンを持つ DNS リライト

 

図 26-2 で、Web サーバ server.example.com の実際のアドレスは、セキュリティ アプライアンスの DMZ インターフェイスの 192.168.100.10 です。IP アドレス 10.10.10.25 の Web クライアントが内部インターフェイスにあり、パブリック DNS サーバが外部インターフェイスにあります。サイト NAT ポリシーは次のとおりです。

外部 DNS サーバは server.example.com の信頼できるアドレス レコードを保持しています。

外部ネットワークのホストは、ドメイン名が server.example.com の Web サーバに、外部 DNS サーバまたは IP アドレス 209.165.200.5 を使用して接続できます。

内部ネットワークのクライアントは、ドメイン名が server.example.com の Web サーバに、外部 DNS サーバまたは IP アドレス 192.168.100.10 を使用してアクセスできます。

いずれかのインターフェイスのホストまたはクライアントは、DMZ Web サーバにアクセスするときに、パブリック DNS サーバに対して server.example.com の A レコードを照会します。DNS サーバは、server.example.com がアドレス 209.165.200.5 にバインドされていることを示す A レコードを返します。

外部 ネットワークの Web クライアントが http://server.example.com にアクセスを試みたときのイベント シーケンスは次のとおりです。

1. Web クライアントを実行しているホストが DNS サーバに、server.example.com の IP アドレスを求める要求を送信します。

2. DNS サーバが応答で IP アドレス 209.165.200.225 を示します。

3. Web クライアントが HTTP 要求を 209.165.200.225 に送信します。

4. 外部ホストからのパケットがセキュリティ アプライアンスの外部インターフェイスに到達します。

5. スタティック規則によってアドレス 209.165.200.225 が 192.168.100.10 に変換され、セキュリティ アプライアンスがパケットを DMZ の Web サーバに誘導します。

内部 ネットワークの Web クライアントが http://server.example.com にアクセスを試みたときのイベント シーケンスは次のとおりです。

1. Web クライアントを実行しているホストが DNS サーバに、server.example.com の IP アドレスを求める要求を送信します。

2. DNS サーバが応答で IP アドレス 209.165.200.225 を示します。

3. セキュリティ アプライアンスが DNS 応答を受信し、その応答を DNS アプリケーション検査エンジンに送信します。

4. DNS アプリケーション検査エンジンは、次の処理を行います。

a. 埋め込まれた A レコード アドレス「[outside]:209.165.200.5」の変換を元に戻す NAT 規則を検索します。この例では、次のスタティック コンフィギュレーションが検索されます。

static (dmz,outside) 209.165.200.225 192.168.100.10 dns
 

b. dns オプションが含まれているため、次のように A レコードをリライトするスタティック規則を使用します。

[outside]:209.165.200.225 --> [dmz]:192.168.100.10
 

static コマンドに dns オプションが含まれていない場合、DNS リライトは実行されず、他のパケット処理が継続されます。


c. 内部 Web クライアントと通信するときに、Web サーバ アドレス [dmz]:192.168.100.10 を変換する NAT が検索されます。

適用可能な NAT 規則がない場合、アプリケーション検査は終了します。

NAT 規則(nat または static)が適用可能な場合は、 dns オプションも指定されている必要があります。 dns オプションが指定されていなかった場合、ステップ b の A レコード リライトは取り消され、他のパケット処理が継続されます。

5. セキュリティ アプライアンスが DMZ インターフェイスの server.example.com に HTTP 要求を送信します。

3 つの NAT ゾーンを持つ DNS リライトの設定

図 26-2 の事例の NAT ポリシーをイネーブルにするには、次の手順を実行します。


ステップ 1 DMZ ネットワークの Web サーバのスタティック変換を次のように作成します。

hostname(config)# static (dmz,outside) mapped-address real-address dns
 

引数は次のとおりです。

dmz :セキュリティ アプライアンスの DMZ インターフェイスの名前

outside :セキュリティ アプライアンスの外部インターフェイスの名前

mapped-address :Web サーバの変換後の IP アドレス

real-address :Web サーバの実際の IP アドレス

ステップ 2 Web サーバが HTTP 要求を受信するポートへのトラフィックを許可するアクセス リストを作成します。

hostname(config)# access-list acl-name extended permit tcp any host mapped-address eq port
 

引数は次のとおりです。

acl-name :アクセス リストに付けた名前

mapped-address :Web サーバの変換後の IP アドレス

port :Web サーバが HTTP 要求を受信する TCP ポート

ステップ 3 ステップ 2 で作成したアクセス リストを外部インターフェイスに適用します。これを行うには、 access-group コマンドを次のように使用します。

hostname(config)# access-group acl-name in interface outside
 

ステップ 4 DNS 検査がディセーブルの場合、または最大 DNS パケット長を変更する場合は、DNS 検査を設定します。デフォルトで、DNS アプリケーション検査は、最大 DNS パケット長を 512 バイトとしてイネーブルになっています。設定手順については、「アプリケーション検査の設定」を参照してください。

ステップ 5 パブリック DNS サーバで、次のように Web サーバの A レコードを追加します。

domain-qualified-hostname. IN A mapped-address
 

domain-qualified-hostname には、ホスト名にドメイン サフィックスを付けて指定します(server.example.com など)。ホスト名の後ろのピリオドは重要です。 mapped-address には、Web サーバの変換後の IP アドレスを指定します。


 

次の例では、図 26-2 の事例のセキュリティ アプライアンスを設定しています。DNS 検査はすでにイネーブルになっていることが前提です。

hostname(config)# static (dmz,outside) 209.165.200.225 192.168.100.10 dns
hostname(config)# access-list 101 permit tcp any host 209.165.200.225 eq www
hostname(config)# access-group 101 in interface outside
 

このコンフィギュレーションには、DNS サーバの次の A レコードが必要です。

server.example.com. IN A 209.165.200.225
 

DNS 検査の確認と監視

現在の DNS 接続に関する情報を表示するには、次のコマンドを入力します。

hostname# show conn
 

DNS サーバを使用する接続の場合、show conn コマンド出力で、接続の送信元ポートが DNS サーバの IP アドレスに置き換えられることがあります。

複数の DNS セッションが同じ 2 つのホスト間で発生し、セッションの 5 つのタプル(送信元/宛先 IP アドレス、送信元/宛先ポート、およびプロトコル)が同じものである場合、複数のセッションに対して接続が 1 つだけ作成されます。DNS ID は app_id で追跡され、各 app_id のアイドル タイマーは独立して実行されます。

app_id の有効期限はそれぞれ独立して満了するため、正当な DNS 応答がセキュリティ アプライアンスを通過できるのは、限られた期間内だけであり、リソースの継続使用はできません。ただし、 show conn コマンドを入力した場合、新しい DNS セッションによってリセットされている DNS 接続のアイドル タイマーが表示されます。これは共有 DNS 接続の性質によるものであり、仕様です。

DNS アプリケーション検査の統計情報を表示するには、 show service-policy コマンドを入力します。次に、 show service-policy コマンドの出力例を示します。

hostname# show service-policy
Interface outside:
Service-policy: sample_policy
Class-map: dns_port
Inspect: dns maximum-length 1500, packet 0, drop 0, reset-drop 0
 

検査制御を追加するための DNS 検査ポリシー マップの設定

DNS アプリケーション検査は、DNS スプーフィングとキャッシュ ポイズニングを防ぐための DNS メッセージ制御をサポートしています。ユーザが設定可能な規則によって、DNS ヘッダー、ドメイン名、リソース レコードのタイプ、およびクラスに基づいてフィルタリングを行うことができます。たとえば、ゾーン転送をこの機能のあるサーバ間だけに制限できます。

公開サーバが特定の内部ゾーンだけをサポートしている場合に、DNS ヘッダーにある Recursion Desired フラグと Recursion Available フラグをマスクして、サーバを攻撃から守ることができます。また、DNS のランダム化をイネーブルにすると、ランダム化をサポートしていないサーバや強度の低い擬似乱数ジェネレータを使用するサーバのスプーフィングやキャッシュ ポイズニングを回避できます。照会できるドメイン名を制限することにより、公開サーバの保護がさらに確実になります。

不一致の DNS 応答数が過度に増えた場合(キャッシュ ポイズニング攻撃を示している可能性がある)、DNS 不一致のアラートを設定して通知することができます。さらに、すべての DNS メッセージに Transaction Signature(TSIG; トランザクション シグニチャ)を付けるようにチェックする設定も行うことができます。

メッセージがパラメータに違反したときのアクションを指定するには、DNS 検査ポリシー マップを作成します。作成した検査ポリシー マップは、「アプリケーション検査の設定」に従って DNS 検査をイネーブルにすると適用できます。

DNS 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 (オプション)「正規表現の作成」に従って、1 つ以上の正規表現をトラフィック照合コマンドに追加して使用できるようにします。ステップ 3 に記載されている match コマンドで照合できるテキストのタイプを参照してください。

ステップ 2 (オプション)「正規表現クラス マップの作成」に従って、1 つ以上の正規表現のクラス マップを作成して正規表現をグループ化します。

ステップ 3 (オプション)次の手順に従って、DNS 検査のクラス マップを作成します。

クラス マップは複数のトラフィックとの照合をグループ化します。クラス マップと一致するには、トラフィックは、 すべての match コマンドと一致する必要があります。または、 match コマンドを直接ポリシー マップに指定することができます。クラス マップを作成することと検査ポリシー マップでトラフィックとの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるということです。

クラス マップと照合しないトラフィックを指定するには、 match not コマンドを使用します。たとえば、 match not コマンドで文字列「example.com」を指定すると、「example.com」が含まれるすべてのトラフィックはクラス マップと照合されません。

このクラス マップで特定するトラフィックに対して、ドロップ、接続のドロップ、リセット、マスク、レート制限の設定、接続のロギングなどのアクションを検査ポリシー マップに指定できます。

match コマンドごとに異なるアクションを実行する場合、ポリシー マップに直接トラフィックを特定する必要があります。

a. 次のコマンドを入力して、クラス マップを作成します。

hostname(config)# class-map type inspect dns [match-all | match-any] class_map_name
hostname(config-cmap)#
 

class_map_name には、クラス マップの名前を指定します。 match-all キーワードはデフォルトです。トラフィックがクラス マップと一致するには、すべての基準と一致する必要があることを指定します。 match-any キーワードは、トラフィックが少なくとも基準の 1 つに一致したらクラス マップと一致することを指定します。CLI がクラス マップ コンフィギュレーション モードに入り、1 つ以上の match コマンドを入力できます。

b. (オプション)クラス マップに説明を追加するには、次のコマンドを入力します。

hostname(config-cmap)# description string
 

c. (オプション)DNS ヘッダーに設定されている特定のフラグを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] header-flag [eq] {f_well_known | f_value}
 

f_well_known 引数には、DNS のフラグ ビットを指定します。 f_value 引数には、16 ビットの値を 16 進数で指定します。eq キーワードは完全一致を指定します。

d. (オプション)DNS タイプ(クエリー タイプや RR タイプなど)を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] dns-type {eq t_well_known | t_val} {range t_val1 t_val2}
 

t_well_known 引数には、DNS のフラグ ビットを指定します。t_val 引数には、DNS タイプ フィールドの任意の値(0 ~ 65535)を指定します。range キーワードは範囲を指定し、eq キーワードは完全一致を指定します。

e. (オプション)DNS クラスを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] dns-class {eq c_well_known | c_val} {range c_val1 c_val2}
 

c_well_known 引数には、DNS クラスを指定します。c_val 引数には、DNS クラス フィールドの任意の値を指定します。range キーワードは範囲を指定し、eq キーワードは完全一致を指定します。

f. (オプション)DNS の問い合せまたはリソース レコードを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match {question | {resource-record answer | authority | any}}
 

question キーワードを指定すると、DNS メッセージの問い合せ部分を照合します。resource-record キーワードを指定すると、DNS メッセージのリソース レコード部分を照合します。 answer キーワードを指定すると、Answer RR セクションを照合します。authority キーワードを指定すると、Authority RR セクションを照合します。 additional キーワードを指定すると、Additional RR セクションを照合します。

g. (オプション)DNS メッセージのドメイン名リストを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] domain-name {regex regex_id | regex class class_id]
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

ステップ 4 DNS 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect dns policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 5 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 6 一致したトラフィックにアクションを適用するには、次の手順を実行します。

a. 次のいずれかの方法を使用して、アクションを実行するトラフィックを指定します。

次のコマンドを入力して、ステップ 3 で作成した DNS クラス マップを指定します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

ステップ 3 で説明されている match コマンドのいずれかを使用して、ポリシー マップにトラフィックを直接指定します。 match not コマンドを使用すると、 match not コマンドの基準に一致しないすべてのトラフィックにアクションが適用されます。

b. 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。

hostname(config-pmap-c)# {[drop [send-protocol-error] | drop-connection [send-protocol-error]| mask | reset] [log] | rate-limit message_rate}
 

match コマンドまたは class コマンドですべてのオプションを使用できるわけではありません。使用できる正確なオプションについては、CLI ヘルプまたは『 Cisco Security Appliance Command Reference 』を参照してください。

drop キーワードを指定すると、一致するすべてのパケットをドロップします。

send-protocol-error キーワードを指定すると、プロトコル エラー メッセージを送信します。

drop-connection キーワードを指定すると、パケットをドロップし、接続を閉じます。

mask キーワードを指定すると、パケットの一致部分をマスクします。

reset キーワードを指定すると、パケットをドロップして接続を閉じ、サーバとクライアントの両方またはいずれかに TCP リセットを送信します。

log キーワードを指定すると、システム ログ メッセージを送信します。このキーワードは単独で、または他のキーワードのいずれかと一緒に使用できます。

rate-limit message_rate 引数では、メッセージのレートを制限します。

ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。 class コマンドと match コマンドの順序については、「検査ポリシー マップのアクションの定義」を参照してください。

ステップ 7 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. DNS クエリーの DNS 識別子をランダム化するには、次のコマンドを入力します。

hostname(config-pmap-p)# id-randomization
 

c. 過度な DNS ID の不一致をロギングするには、次のコマンドを入力します。

hostname(config-pmap-p)# id-mismatch [count number duration seconds] action log
 

count string 引数には、不一致インスタンスの最大数を指定します。一致しないインスタンスがこの数を超えたら、システム ログ メッセージを送信します。 duration seconds には、監視する期間を秒単位で指定します。

d. TSIG リソース レコードが存在することを必須とするには、次のコマンドを入力します。

hostname(config-pmap-p)# tsig enforced action {drop [log] | [log}
 

count string 引数には、不一致インスタンスの最大数を指定します。一致しないインスタンスがこの数を超えたら、システム ログ メッセージを送信します。 duration seconds には、監視する期間を秒単位で指定します。


 

次の例は、DNS 検査ポリシー マップを定義する方法を示しています。

hostname(config)# regex domain_example “example\.com”
hostname(config)# regex domain_foo “foo\.com”
 
hostname(config)# ! define the domain names that the server serves
hostname(config)# class-map type inspect regex match-any my_domains
hostname(config-cmap)# match regex domain_example
hostname(config-cmap)# match regex domain_foo
 
hostname(config)# ! Define a DNS map for query only
hostname(config)# class-map type inspect dns match-all pub_server_map
hostname(config-cmap)# match not header-flag QR
hostname(config-cmap)# match question
hostname(config-cmap)# match not domain-name regex class my_domains
 
hostname(config)# policy-map type inspect dns serv_prot
hostname(config-pmap)# class pub_server_map
hostname(config-pmap-c)# drop log
hostname(config-pmap-c)# match header-flag RD
hostname(config-pmap-c)# mask log
 
hostname(config)# class-map dns_serv_map
hostname(config-cmap)# match default-inspection-traffic
 
hostname(config)# policy-map pub_policy
hostname(config-pmap)# class dns_serv_map
hostname(config-pmap-c)# inspect dns serv_prot
 
hostname(config)# service-policy pub_policy interface dmz
 

ESMTP 検査

ESMTP 検査は、スパム、フィッシング、不正な形式のメッセージによる攻撃、バッファ オーバーフロー/アンダーフロー攻撃を検出します。また、アプリケーション セキュリティとプロトコル準拠により、正常な ESMTP メッセージだけを通し、各種の攻撃の検出や送受信者およびメール中継のブロックも行います。

検査制御を追加するための ESMTP 検査ポリシー マップの設定

メッセージがパラメータに違反したときのアクションを指定するには、ESMTP 検査ポリシー マップを作成します。作成した検査ポリシー マップは、「アプリケーション検査の設定」に従って ESMTP 検査をイネーブルにすると適用できます。

ESMTP 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 (オプション)「正規表現の作成」に従って、1 つ以上の正規表現をトラフィック照合コマンドに追加して使用できるようにします。ステップ 3 に記載されている match コマンドで照合できるテキストのタイプを参照してください。

ステップ 2 (オプション)「正規表現クラス マップの作成」に従って、1 つ以上の正規表現のクラス マップを作成して正規表現をグループ化します。

ステップ 3 ESMTP 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect esmtp policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 4 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 5 一致したトラフィックにアクションを適用するには、次の手順を実行します。

a. ステップ 3 で説明されている match コマンドのいずれかを使用して、ポリシー マップに直接トラフィックを指定します。 match not コマンドを使用すると、 match not コマンドの基準に一致しないすべてのトラフィックにアクションが適用されます。

b. 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。

hostname(config-pmap-c)# {[drop [send-protocol-error] | drop-connection [send-protocol-error]| mask | reset] [log] | rate-limit message_rate}
 

match コマンドまたは class コマンドですべてのオプションを使用できるわけではありません。使用できる正確なオプションについては、CLI ヘルプまたは『 Cisco Security Appliance Command Reference 』を参照してください。

drop キーワードを指定すると、一致するすべてのパケットをドロップします。

send-protocol-error キーワードを指定すると、プロトコル エラー メッセージを送信します。

drop-connection キーワードを指定すると、パケットをドロップし、接続を閉じます。

mask キーワードを指定すると、パケットの一致部分をマスクします。

reset キーワードを指定すると、パケットをドロップして接続を閉じ、サーバとクライアントの両方またはいずれかに TCP リセットを送信します。

log キーワードを指定すると、システム ログ メッセージを送信します。このキーワードは単独で、または他のキーワードのいずれかと一緒に使用できます。

rate-limit message_rate 引数では、メッセージのレートを制限します。

ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。 class コマンドと match コマンドの順序については、「検査ポリシー マップのアクションの定義」を参照してください。

ステップ 6 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. ローカル ドメイン名を設定するには、次のコマンドを入力します。

hostname(config-pmap-p)# mail-relay domain-name action [drop-connection | log]]
 

drop-connection アクションを指定すると、接続を閉じます。 log アクションを指定すると、ポリシー マップがトラフィックに一致したときにシステム ログ メッセージを送信します。

c. バナーを難読化するには、次のコマンドを入力します。

hostname(config-pmap-p)# mask-banner
 

d. (オプション)受信者または送信者の電子メール アドレスに含まれる特殊文字を検出するには、次のコマンドを入力します。

hostname(config-pmap-p)# special-character action [drop-connection | log]]
 

このコマンドを使用して、パイプ文字(|)、逆引用符文字(`)、およびヌル文字を検出します。

e. (オプション)本文の長さまたは本文の行の長さを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match body [line] length gt length
 

length には、メッセージ本文の長さまたはメッセージ本文の行の長さを指定します。

f. (オプション)ESMTP コマンド バーブを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match cmd verb verb
 

verb には、次の ESMTP コマンドのいずれかを指定します。

AUTH|DATA|EHLO|ETRN||HELO|HELP|MAIL|NOOP|QUIT|RCPT|RSET|SAML|SOML|VRFY
 

g. (オプション)受信者アドレスの数を照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match cmd RCPT count gt count
 

count には、受信者アドレスの数を指定します。

h. (オプション)コマンド行の長さを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match cmd line length gt length
 

length には、コマンド行の長さを指定します。

i. (オプション)ehlo-reply パラメータを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match ehlo-reply-parameter extensions
 

extensions には、クライアントからの EHLO メッセージに対してサーバから送信された応答に含まれる ESMTP サービスの拡張を指定します。これらの拡張は、新規コマンドとして、または既存コマンドのパラメータとして実装されます。extensions には次のいずれかが考えられます。

8bitmime|binarymime|checkpoint|dsn|ecode|etrn|others|pipelining|size|vrfy
 

j. (オプション)ヘッダーの長さまたはヘッダー行の長さを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match header [line] length gt length
 

length には、ヘッダーまたは行の文字数を指定します。

k. (オプション)ヘッダーの to-field カウントを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match header to-fields count gt count
 

count には、ヘッダーの to-field に含まれる受信者の数を指定します。

l. (オプション)無効な受信者の数を照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match invalid-recipients count gt count
 

count には、無効な受信者数を指定します。

m. (オプション)使用されている MIME 符号化スキームのタイプを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match mime encoding [7bit|8bit|base64|binary|others| quoted-printable]
 

n. (オプション)MIME ファイル名の長さを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match mime filename length gt length
 

length には、ファイル名の長さを 1 ~ 1000 の範囲で指定します。

o. (オプション)MIME ファイル タイプを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match mime filetype regex [name | class name]
 

name または class name には、ファイル タイプまたはクラス マップと照合する正規表現を指定します。クラス マップの照合に正規表現を使用すると、複数のファイル タイプを選択できます。

p. (オプション)送信者アドレスを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match sender-address regex [name | class name]
 

name または class name には、送信者アドレスまたはクラス マップと照合する正規表現を指定します。クラス マップの照合に正規表現を使用すると、複数の送信者アドレスを選択できます。

q. (オプション)送信者アドレスの長さを照合するには、次のコマンドを入力します。

hostname(config-pmap-p)# match sender-address length gt length
 

length には、送信者アドレスの文字数を指定します。


 

次の例は、ESMTP 検査ポリシー マップを定義する方法を示しています。

hostname(config)# regex user1 “user1@cisco.com”
hostname(config)# regex user2 “user2@cisco.com”
hostname(config)# regex user3 “user3@cisco.com”
hostname(config)# class-map type regex senders_black_list
hostname(config-cmap)# description “Regular expressions to filter out undesired senders”
hostname(config-cmap)# match regex user1
hostname(config-cmap)# match regex user2
hostname(config-cmap)# match regex user3
 
hostname(config)# policy-map type inspect esmtp advanced_esmtp_map
hostname(config-pmap)# match sender-address regex class senders_black_list
hostname(config-pmap-c)# drop-connection log
 
hostname(config)# policy-map outside_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect esmtp advanced_esmtp_map
 
hostname(config)# service-policy outside_policy interface outside
 

FTP 検査

この項では、FTP 検査エンジンについて説明します。次の項目を取り上げます。

「FTP 検査の概要」

「strict オプションの使用」

「検査制御を追加するための FTP 検査ポリシー マップの設定」

「FTP 検査の確認と監視」

FTP 検査の概要

FTP アプリケーション検査は、FTP セッションを検査し、次の 4 つのタスクを実行します。

ダイナミックな二次的データ接続の準備

FTP コマンド応答シーケンスの追跡

監査証跡の生成

埋め込み IP アドレスの変換

FTP アプリケーション検査によって、FTP データ転送用にセカンダリ チャネルが用意されます。これらのチャネルのポートは、PORT コマンドまたは PASV コマンドを使用してネゴシエートされます。セカンダリ チャネルは、ファイル アップロード、ファイル ダウンロード、またはディレクトリ リスト イベントへの応答で割り当てられます。


no inspect ftp コマンドを使用して、FTP 検査エンジンをディセーブルにすると、発信ユーザはパッシブ モードだけで接続を開始でき、着信 FTP はすべてディセーブルになります。


strict オプションの使用

inspect ftp コマンドに strict オプションを使用すると、Web ブラウザが FTP 要求内の埋め込みコマンドを送信できないようにすることで、保護されたネットワークのセキュリティが向上します。


) セキュリティ アプライアンスの通過を禁止する FTP コマンドを指定するには、「検査制御を追加するための FTP 検査ポリシー マップの設定」に従って FTP マップを作成します。


インターフェイスに対して strict オプションをイネーブルにすると、FTP 検査によって次の動作が適用されます。

FTP コマンドが確認応答されてからでないと、セキュリティ アプライアンスは新しいコマンドを許可しません。

セキュリティ アプライアンスは、埋め込みコマンドを送信する接続をドロップします。

227 コマンドと PORT コマンドが、エラー文字列に表示されないように確認されます。


注意 strict オプションを使用すると、FTP RFC に厳密に準拠していない FTP クライアントは失敗することがあります。

strict オプションがイネーブルの場合、各 FTP コマンドと応答シーケンスが追跡され、次の異常なアクティビティがないか確認されます。

切り捨てされたコマンド:PORT コマンドおよび PASV 応答コマンドのカンマの数が 5 であるかどうかが確認されます。カンマの数が 5 でない場合は、PORT コマンドが切り捨てられていると見なされ、TCP 接続は閉じられます。

不正なコマンド:FTP コマンドが、RFC の要求通りに <CR><LF> 文字で終了しているかどうか確認されます。終了していない場合は、接続が閉じられます。

RETR コマンドと STOR コマンドのサイズ:これらが、固定の定数と比較チェックされます。サイズが定数より大きい場合は、エラー メッセージがロギングされ、接続が閉じられます。

コマンド スプーフィング:PORT コマンドは、常にクライアントから送信されます。PORT コマンドがサーバから送信される場合、TCP 接続は拒否されます。

応答スプーフィング:PASV 応答コマンド(227)は、常にサーバから送信されます。PASV 応答コマンドがクライアントから送信される場合、TCP 接続は拒否されます。これにより、ユーザが「227 xxxxx a1, a2, a3, a4, p1, p2.」を実行する場合のセキュリティ ホールを予防できます。

TCP ストリーム編集:セキュリティ アプライアンスは、TCP ストリーム編集を検出した場合に接続を閉じます。

無効ポート ネゴシエーション:ネゴシエートされたダイナミック ポート値が、1024 未満であるかどうかが調べられます。1 ~ 1024 の範囲のポート番号は、予約済み接続用に指定されているため、ネゴシエートされたポートがこの範囲内であった場合、TCP 接続は解放されます。

コマンド パイプライン:PORT コマンドと PASV 応答コマンド内のポート番号の後に続く文字数が、定数の 8 と比べられます。8 より大きい場合は、TCP 接続が閉じられます。

セキュリティ アプライアンスは、SYST コマンドに対する FTP サーバ応答を X の連続に置き換えます。これは、FTP クライアントがサーバのシステム タイプを取得できないようにするためです。このデフォルトの動作を無効にするには、FTP マップで、 no mask-syst-reply コマンドを使用します。

検査制御を追加するための FTP 検査ポリシー マップの設定

厳密な FTP 検査には、セキュリティと制御を向上させるための FTP コマンド フィルタリングとセキュリティ チェック機能が用意されています。プロトコルとの適合性の検査には、パケットの長さのチェック、デリミタとパケットの形式のチェック、コマンドのターミネータのチェック、およびコマンドの検証が含まれます。

また、ユーザの値に基づいて FTP 接続をブロックできるため、FTP サイトにダウンロード用のファイルを置き、アクセスを特定のユーザだけに制限できます。ファイルのタイプ、サーバ名、および他のアトリビュートに基づいて、FTP 接続をブロックできます。検査時に FTP 接続が拒否されると、システム メッセージのログが作成されます。

FTP 検査で FTP サーバがそのシステム タイプを FTP クライアントに公開することを許可し、許可する FTP コマンドを制限する場合、FTP マップを作成および設定します。作成した FTP マップは、「アプリケーション検査の設定」に従って FTP 検査をイネーブルにすると適用できます。

FTP マップを作成するには、次の手順を実行します。


ステップ 1 (オプション)「正規表現の作成」に従って、1 つ以上の正規表現をトラフィック照合コマンドに追加して使用できるようにします。ステップ 3 に記載されている match コマンドで照合できるテキストのタイプを参照してください。

ステップ 2 (オプション)「正規表現クラス マップの作成」に従って、1 つ以上の正規表現のクラス マップを作成して正規表現をグループ化します。

ステップ 3 (オプション)次の手順に従って、FTP 検査のクラス マップを作成します。

クラス マップは複数のトラフィックとの照合をグループ化します。クラス マップと一致するには、トラフィックは、 すべての match コマンドと一致する必要があります。または、 match コマンドを直接ポリシー マップに指定することができます。クラス マップを作成することと検査ポリシー マップでトラフィックとの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるということです。

クラス マップと照合しないトラフィックを指定するには、 match not コマンドを使用します。たとえば、 match not コマンドで文字列「example.com」を指定すると、「example.com」が含まれるすべてのトラフィックはクラス マップと照合されません。

このクラス マップで特定するトラフィックに対して、ドロップ、接続のドロップ、リセット、マスク、レート制限の設定、接続のロギングなどのアクションを検査ポリシー マップに指定できます。

match コマンドごとに異なるアクションを実行する場合、ポリシー マップに直接トラフィックを特定する必要があります。

a. 次のコマンドを入力して、クラス マップを作成します。

hostname(config)# class-map type inspect ftp [match-all | match-any] class_map_name
hostname(config-cmap)#
 

class_map_name には、クラス マップの名前を指定します。 match-all キーワードはデフォルトです。トラフィックがクラス マップと一致するには、すべての基準と一致する必要があることを指定します。 match-any キーワードは、トラフィックが少なくとも基準の 1 つに一致したらクラス マップと一致することを指定します。CLI がクラス マップ コンフィギュレーション モードに入り、1 つ以上の match コマンドを入力できます。

b. (オプション)クラス マップに説明を追加するには、次のコマンドを入力します。

hostname(config-cmap)# description string
 

c. (オプション)FTP 転送のファイル名を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] filename regex [regex_name | class regex_class_name]
 

regex_name には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

d. (オプション)FTP 転送のファイル タイプを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] filetype regex [regex_name | class regex_class_name]
 

regex_name には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

e. (オプション)特定の FTP コマンドを禁止するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] request-command ftp_command [ftp_command...]
 

ftp_command には、制限する 1 つ以上の FTP コマンドを指定します。制限できる FTP コマンドのリストについては、 表 26-3 を参照してください。

 

表 26-3 FTP マップの request-command deny オプション

request-command deny オプション
目的

appe

ファイルへの追加を行うコマンドを拒否します。

cdup

現在の作業ディレクトリの親ディレクトリに移動するコマンドを拒否します。

dele

サーバのファイルを削除するコマンドを拒否します。

get

サーバからファイルを取得するクライアント コマンドを拒否します。

help

ヘルプ情報を提供するコマンドを拒否します。

mkd

サーバ上にディレクトリを作成するコマンドを拒否します。

put

サーバにファイルを送信するクライアント コマンドを拒否します。

rmd

サーバ上のディレクトリを削除するコマンドを拒否します。

rnfr

変更元ファイル名を指定するコマンドを拒否します。

rnto

変更先ファイル名を指定するコマンドを拒否します。

site

サーバ システム固有のコマンドを拒否します。通常、リモート管理に使用します。

stou

一意のファイル名を使用してファイルを保存するコマンドを拒否します。

f. (オプション)FTP サーバを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] server regex [regex_name | class regex_class_name]
 

regex_name には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

g. (オプション)FTP ユーザ名を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] username regex [regex_name | class regex_class_name]
 

regex_name には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

ステップ 4 FTP 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect ftp policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 5 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 6 一致したトラフィックにアクションを適用するには、次の手順を実行します。

a. 次のいずれかの方法を使用して、アクションを実行するトラフィックを指定します。

次のコマンドを入力して、ステップ 3 で作成した FTP クラス マップを指定します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

ステップ 3 で説明されている match コマンドのいずれかを使用して、ポリシー マップにトラフィックを直接指定します。 match not コマンドを使用すると、 match not コマンドの基準に一致しないすべてのトラフィックにアクションが適用されます。

b. 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。

hostname(config-pmap-c)# {[drop [send-protocol-error] | drop-connection [send-protocol-error]| mask | reset] [log] | rate-limit message_rate}
 

match コマンドまたは class コマンドですべてのオプションを使用できるわけではありません。使用できる正確なオプションについては、CLI ヘルプまたは『 Cisco Security Appliance Command Reference 』を参照してください。

drop キーワードを指定すると、一致するすべてのパケットをドロップします。

send-protocol-error キーワードを指定すると、プロトコル エラー メッセージを送信します。

drop-connection キーワードを指定すると、パケットをドロップし、接続を閉じます。

mask キーワードを指定すると、パケットの一致部分をマスクします。

reset キーワードを指定すると、パケットをドロップして接続を閉じ、サーバとクライアントの両方またはいずれかに TCP リセットを送信します。

log キーワードを指定すると、システム ログ メッセージを送信します。このキーワードは単独で、または他のキーワードのいずれかと一緒に使用できます。

rate-limit message_rate 引数では、メッセージのレートを制限します。

ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。 class コマンドと match コマンドの順序については、「検査ポリシー マップのアクションの定義」を参照してください。

ステップ 7 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. FTP サーバとの接続時に表示されるバナーをマスクするには、次のコマンドを入力します。

hostname(config-pmap-p)# mask-banner
 

c. syst コマンドへの応答をマスクするには、次のコマンドを入力します。

hostname(config-pmap-p)# mask-syst-reply
 


 

ユーザ名とパスワードを送信する前に、すべての FTP ユーザに接続時バナーが表示されます。デフォルトでは、このバナーには、ハッカーがシステムの弱点を特定するために役立つバージョン情報が含まれます。このバナーをマスクする方法を次に示します。

 
hostname(config)# policy-map type inspect ftp mymap
hostname(config-pmap)# parameters
hostname(config-pmap-p)# mask-banner
 
hostname(config)# class-map match-all ftp-traffic
hostname(config-cmap)# match port tcp eq ftp
 
hostname(config)# policy-map ftp-policy
hostname(config-pmap)# class ftp-traffic
hostname(config-pmap-c)# inspect ftp strict mymap
 
hostname(config)# service-policy ftp-policy interface inside
 

FTP 検査の確認と監視

FTP アプリケーション検査では、次のログ メッセージが生成されます。

An Audit record 302002 is generated for each file that is retrieved or uploaded.

The FTP command is checked to see if it is RETR or STOR and the retrieve and store commands are logged.

The username is obtained by looking up a table providing the IP address.

The username, source IP address, destination IP address, NAT address, and the file operation are logged.

Audit record 201005 is generated if the secondary dynamic channel preparation failed due to memory shortage.

NAT と連携することにより、FTP アプリケーション検査では、アプリケーション ペイロード内の IP アドレスが変換されます。これは、RFC 959 に詳細に記述されています。

GTP 検査

この項では、GTP 検査エンジンについて説明します。次の項目を取り上げます。

「GTP 検査の概要」

「検査制御を追加するための GTP 検査ポリシー マップの設定」

「GTP 検査の確認と監視」


) GTP 検査には、特別なライセンスが必要です。必要なライセンスがないときに、セキュリティ アプライアンスで GTP 関連のコマンドを入力した場合、セキュリティ アプライアンスはエラー メッセージを表示します。


GTP 検査の概要

GPRS は、モバイル ユーザに対して、GSM ネットワークと企業ネットワークまたはインターネットとの間で中断しない接続を提供します。GGSN は、GPRS 無線データ ネットワークと他のネットワークとの間のインターフェイスです。SGSN は、モビリティ、データ セッション管理、およびデータ圧縮を実行します(図 26-3 を参照)。

図 26-3 GPRS トンネリング プロトコル

 

UMTS は、固定回線テレフォニー、モバイル、インターネット、コンピュータ テクノロジーの商用コンバージェンスです。UTRAN は、このシステムで無線ネットワークを実装するためのネットワーキング プロトコルです。GTP を使用すると、GGSN、SGSN、および UTRAN 間の UMTS/GPRS バックボーンで、マルチプロトコル パケットをトンネリングできます。

GTP には固有のセキュリティやユーザ データの暗号化は含まれていませんが、セキュリティ アプライアンスで GTP を使用することによって、これらの危険性からネットワークを保護できます。

SGSN は、GTP を使用する GGSN に論理的に接続されます。GTP を使用すると、GSN 間の GPRS バックボーンで、マルチプロトコル パケットをトンネリングできます。GTP は、トンネル制御および管理プロトコルを提供します。このプロトコルによって、SGSN は、トンネルの作成、変更、および削除を行い、モバイル ステーションに GPRS ネットワーク アクセスを提供できます。GTP は、トンネリング メカニズムを使用して、ユーザ データ パケットを伝送するためのサービスを提供します。


) GTP をフェールオーバーと同時に使用しているとき、GTP 接続が確立され、データがトンネルを超えて伝送される前にアクティブ装置に障害が発生した場合、GTP データ接続(「j」フラグが設定されています)は、スタンバイ装置に複製されません。これは、アクティブ装置が初期接続をスタンバイ装置に複製しないためです。


検査制御を追加するための GTP 検査ポリシー マップの設定

GTP トラフィックに対して追加のパラメータを適用する場合、GTP マップを作成および設定します。 inspect gtp コマンドにマップを指定しないと、セキュリティ アプライアンスは、次のデフォルト値で事前に設定されたデフォルトの GTP マップを使用します。

request-queue 200

timeout gsn 0:30:00

timeout pdp-context 0:30:00

timeout request 0:01:00

timeout signaling 0:30:00

timeout tunnel 0:01:00

tunnel-limit 500

GTP マップを作成および設定するには、次の手順を実行します。作成した GTP マップは、「アプリケーション検査の設定」に従って GTP 検査をイネーブルにすると適用できます。


ステップ 1 GTP 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect gtp policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 2 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 3 アクセス ポイント名を照合するには、次のコマンドを入力します。

hostname(config-pmap)# match [not] apn regex [regex_name | class regex_class_name]
 

regex_name には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

ステップ 4 メッセージ ID を照合するには、次のコマンドを入力します。

hostname(config-pmap)# match [not] message id [message_id | range lower_range upper_range]
 

message_id には、英数字の ID(1 ~ 255)を指定します。lower_range は、メッセージ ID の範囲の下限です。upper_range は、メッセージ ID の範囲の上限です。

ステップ 5 メッセージ長を照合するには、次のコマンドを入力します。

hostname(config-pmap)# match [not] message length min min_length max max_length
 

min_length および max_length には、どちらも 1 ~ 65536 の値を指定します。このコマンドで指定する長さは、GTP ヘッダーとメッセージの残りの部分(UDP パケットのペイロード)の合計です。

ステップ 6 バージョンを照合するには、次のコマンドを入力します。

hostname(config-pmap)# match [not] version [version_id | range lower_range upper_range]
 

version_id には、0 ~ 255 を指定します。lower_range は、バージョン範囲の下限です。upper_range は、バージョン範囲の上限です。

ステップ 7 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

mnc network_code 引数には、ネットワーク コードを表す 2 桁または 3 桁の値を指定します。

デフォルトでは、セキュリティ アプライアンスは、MCC と MNC の有効な組み合せがあるかどうかチェックしません。このコマンドは、IMSI プレフィクス フィルタリングに使用されます。受信パケットの IMSI の MCC および MNC は、このコマンドで設定された MCC および MNC と比較され、一致しない場合はドロップされます。

このコマンドは、IMSI プレフィクス フィルタリングをイネーブルにするために使用する必要があります。複数のインスタンスを設定して許可する MCC と MNC の組み合せを指定できます。デフォルトでは、セキュリティ アプライアンスは MNC と MCC の組み合せが有効であるかどうかをチェックしないため、設定した組み合せが有効であるかどうかを確認する必要があります。MCC および MNC コードの詳細については、ITU E.212 勧告『 Identification Plan for Land Mobile Stations 』を参照してください。

b. 無効な GTP パケット、または、そのままでは解析で失敗してドロップされるパケットを許可するには、次のコマンドを入力します。

hostname(config-pmap-p)# permit errors
 

デフォルトでは、無効なパケットまたは解析中に失敗したパケットはすべてドロップされます。

c. GSN プーリングのサポートをイネーブルにするには、 permit response コマンドを使用します。

セキュリティ アプライアンスが GTP 検査を実行する場合、デフォルトでセキュリティ アプライアンスは、GTP 要求で指定されていない GSN からの GTP 応答をドロップします。これは、GSN のプール間でロード バランシングを使用して、GPRS の効率とスケーラビリティを高めているときに発生します。

GSN プーリングのサポートをイネーブルにするには、 permit response コマンドを使用します。このコマンドは、GTP 要求がどの GSN に送信されたかにかかわらず、指定された GSN のセットの中のいずれかからの応答を許可するようにセキュリティ アプライアンスを設定します。ロードバランシング GSN のプールは、ネットワーク オブジェクトとして指定します。同様に、SGSN もネットワーク オブジェクトとして指定します。応答している GSN が GTP 要求の送信先の GSN と同じオブジェクト グループに属している場合、および応答している GSN による GTP 応答の送信が許可されている先のオブジェクト グループに SGSN がある場合、セキュリティ アプライアンスはその応答を許可します。

d. ロード バランシング GSN のプールを表すオブジェクトを作成するには、次の手順を実行します。

object-group コマンドを使用して、ロード バランシング GSN のプールを表す新しいネットワーク オブジェクト グループを定義します。

hostname(config)# object-group network GSN-pool-name
hostname(config-network)#
 

たとえば、次のコマンドは、gsnpool32 というオブジェクト グループを作成します。

hostname(config)# object-group network gsnpool32
hostname(config-network)#
 

e. network-object コマンドを使用して、ロード バランシング GSN を指定します。 host キーワードを使用して、GSN ごとに 1 つの network-object コマンドを使用します。 network-object コマンドを使用して、ロード バランシングを実行する GSN を含むネットワーク全体を指定することもできます。

hostname(config-network)# network-object host IP-address
 

たとえば、次のコマンドは、個別のホストを表す 3 つのネットワーク オブジェクトを作成します。

hostname(config-network)# network-object host 192.168.100.1
hostname(config-network)# network-object host 192.168.100.2
hostname(config-network)# network-object host 192.168.100.3
hostname(config-network)#
 

f. ロード バランシング GSN による応答が許可される SGSN を表すオブジェクトを作成するには、次の手順を実行します。

a. object-group コマンドを使用して、GTP 要求を GSN プールに送信する SGSN を表す新しいネットワーク オブジェクト グループを定義します。

hostname(config)# object-group network SGSN-name
hostname(config-network)#
 

たとえば、次のコマンドは、sgsn32 というオブジェクト グループを作成します。

hostname(config)# object-group network sgsn32
hostname(config-network)#
 

b. network-object コマンドと host キーワードを使用して、SGSN を特定します。

hostname(config-network)# network-object host IP-address
 

たとえば、次のコマンドは、SGSN を表すネットワーク オブジェクトを作成します。

hostname(config-network)# network-object host 192.168.50.100
hostname(config-network)#
 

g. c. d で定義した GSN プールを表すネットワーク オブジェクトの任意の GSN から、c.f. で定義した SGSN を表すネットワーク オブジェクトへの GTP 応答を許可するには、次のコマンドを入力します。

hostname(config)# gtp-map map_name
hostname(config-gtp-map)# permit response to-object-group SGSN-name from-object-group GSN-pool-name
 

たとえば、次のコマンドは、オブジェクト グループ gsnpool32 の任意のホストからオブジェクト グループ sgsn32 の任意のホストへの GTP 応答を許可します。

hostname(config-gtp-map)# permit response to-object-group sgsn32 from-object-group gsnpool32
 

次の例では、GSN プールと SGSN のネットワーク オブジェクトを定義して GSN プーリングをサポートする方法を示します。クラス C ネットワーク全体が GSN プールとして定義されていますが、ネットワーク全体を指定する代わりに、複数の個別の IP アドレスを network-object コマンドで 1 つずつ指定できます。この例では、次に、GSN プールから SGSN への応答を許可するように、GTP マップを変更します。

hostname(config)# object-group network gsnpool32
hostname(config-network)# network-object 192.168.100.0 255.255.255.0
hostname(config)# object-group network sgsn32
hostname(config-network)# network-object host 192.168.50.100
hostname(config)# gtp-map gtp-policy
hostname(config-gtp-map)# permit response to-object-group sgsn32 from-object-group gsnpool32
 

h. キューで応答待ちができる GTP 要求の最大数を指定するには、次のコマンドを入力します。

hostname(config-gtp-map)# request-queue max_requests
 

max_requests 引数には、キューで応答待ちができる GTP 要求の最大数を 1 ~ 4294967295 で設定します。デフォルトは 200 です。

この上限に達した後に新しい要求が到着すると、最も長い時間キューに入っていた要求が削除されます。「Error Indication」、「Version Not Supported」および「SGSN Context Acknowledge」というメッセージは、要求と見なされないため、応答待ち要求のキューに入れられません。

i. GTP セッションの非アクティブ状態タイマーを変更するには、次のコマンドを入力します。

hostname(config-gtp-map)# timeout {gsn | pdp-context | request | signaling | tunnel} hh:mm:ss
 

このコマンドは、タイムアウトごとに別々に入力します。

gsn キーワードで指定した時間、非アクティブ状態が続くと、GSN が削除されます。

pdp-context キーワードでは、PDP コンテキストの受信を開始するまでの最大許容時間を指定します。

request キーワードでは、GTP メッセージの受信を開始するまでの最大許容時間を指定します。

signaling キーワードで指定した時間、非アクティブ状態が続くと、GTP シグナリングが削除されます。

tunnel キーワードで指定した時間、非アクティブ状態が続くと、GTP トンネルが切断されます。

hh : mm : ss 引数にはタイムアウトを指定します。 hh は時、 mm は分、 ss は秒です。値 0 は、切断しないことを意味します。

j. セキュリティ アプライアンス上でアクティブな GTP トンネルの最大許容数を指定するには、次のコマンドを入力します。

hostname(config-gtp-map)# tunnel-limit max_tunnels

 

max_tunnels 引数には、トンネルの最大許容数を 1 ~ 4294967295 で指定します。デフォルトは 500 です。

このコマンドで指定したトンネル数に達すると、新しい要求はドロップされます。


 

次の例は、ネットワークのトンネル数を制限する方法を示しています。

hostname(config)# policy-map type inspect gtp gmap
hostname(config-pmap)# parameters
hostname(config-pmap-p)# tunnel-limit 3000
 
hostname(config)# policy-map global_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect gtp gmap
 
hostname(config)# service-policy global_policy global
 

GTP 検査の確認と監視

GTP コンフィギュレーションを表示するには、特権 EXEC モードで show service-policy inspect gtp コマンドを入力します。このコマンドの詳細なシンタックスについては、『 Cisco Security Appliance Command Reference 』のコマンドのページを参照してください。

show service-policy inspect gtp statistics コマンドを使用して、GTP 検査の統計情報を表示します。次に、 show service-policy inspect gtp statistics コマンドの出力例を示します。

hostname# show service-policy inspect gtp statistics
GPRS GTP Statistics:
version_not_support 0 msg_too_short 0
unknown_msg 0 unexpected_sig_msg 0
unexpected_data_msg 0 ie_duplicated 0
mandatory_ie_missing 0 mandatory_ie_incorrect 0
optional_ie_incorrect 0 ie_unknown 0
ie_out_of_order 0 ie_unexpected 0
total_forwarded 0 total_dropped 0
signalling_msg_dropped 0 data_msg_dropped 0
signalling_msg_forwarded 0 data_msg_forwarded 0
total created_pdp 0 total deleted_pdp 0
total created_pdpmcb 0 total deleted_pdpmcb 0
pdp_non_existent 0
 

縦棒(|)を使用して、表示をフィルタリングできます。 ?| と入力すると、表示フィルタリング オプションが表示されます。

次に、 show service-policy inspect gtp statistics gsn コマンドの GSN 出力例を示します。

hostname# show service-policy inspect gtp statistics gsn 9.9.9.9
1 in use, 1 most used, timeout 0:00:00
 
GTP GSN Statistics for 9.9.9.9, Idle 0:00:00, restart counter 0
Tunnels Active 0 Tunnels Created 0
Tunnels Destroyed 0
Total Messages Received 2
Signaling Messages Data Messages
total received 2 0
dropped 0 0
forwarded 2 0
 

show service-policy inspect gtp pdp-context コマンドを使用して、PDP コンテキストに関する情報を表示します。次に、 show service-policy inspect gtp pdp-context コマンドの出力例を示します。

hostname# show service-policy inspect gtp pdp-context detail
1 in use, 1 most used, timeout 0:00:00
 
Version TID MS Addr SGSN Addr Idle APN
v1 1234567890123425 10.0.1.1 10.0.0.2 0:00:13 gprs.cisco.com
 
user_name (IMSI): 214365870921435 MS address: 1.1.1.1
primary pdp: Y nsapi: 2
sgsn_addr_signal: 10.0.0.2 sgsn_addr_data: 10.0.0.2
ggsn_addr_signal: 10.1.1.1 ggsn_addr_data: 10.1.1.1
sgsn control teid: 0x000001d1 sgsn data teid: 0x000001d3
ggsn control teid: 0x6306ffa0 ggsn data teid: 0x6305f9fc
seq_tpdu_up: 0 seq_tpdu_down: 0
signal_sequence: 0
upstream_signal_flow: 0 upstream_data_flow: 0
downstream_signal_flow: 0 downstream_data_flow: 0
RAupdate_flow: 0
 

PDP コンテキストは、IMSI と NSAPI の値の組み合せであるトンネル ID によって識別されます。GTP トンネルは、それぞれ別個の GSN ノードにある、2 つの関連する PDP コンテキストによって定義され、トンネル ID によって識別されます。GTP トンネルは、パケットを外部パケット データ ネットワークと MS ユーザの間で転送するために必要なものです。

次の例で示すように、縦棒(|)を使用して、表示をフィルタリングできます。

hostname# show service-policy gtp statistics | grep gsn
 

H.323 検査

この項では、H.323 アプリケーション検査について説明します。次の項目を取り上げます。

「H.323 検査の概要」

「H.323 の動作」

「制限事項」

「H.323 および H.225 タイムアウト値の設定」

「H.323 検査の確認と監視」

H.323 検査の概要

H.323 検査は、Cisco CallManager や VocalTec Gatekeeper など、H.323 準拠のアプリケーションをサポートします。H.323 は、International Telecommunication Union(ITU; 国際電気通信連合)によって定義されている、LAN を介したマルチメディア会議用のプロトコル群です。セキュリティ アプライアンスは、H.323 v3 機能の同一コール シグナリング チャネルでの複数コールを含めて、H.323 を Version 4 までサポートします。

H.323 検査をイネーブルにした場合、セキュリティ アプライアンスは、H.323 Version 3 で導入された機能である同一コール シグナリング チャネルでの複数コールをサポートします。この機能によってコール セットアップ時間が短縮され、セキュリティ アプライアンスでのポート使用が減少します。

H.323 検査の 2 つの主要機能は次のとおりです。

H.225 と H.245 の両メッセージ内に埋め込まれている必要な IPv4 アドレスを NAT 処理します。H.323 メッセージは PER 符号化形式で符号化されているため、セキュリティ アプライアンスでは ASN.1 デコーダを使用して H.323 メッセージを復号化します。

ネゴシエートされた H.245 と RTP/RTCP 接続をダイナミックに割り当てます。

H.323 の動作

H.323 のプロトコルのコレクションは、合計で最大 2 つの TCP 接続と 4 ~ 6 つの UDP 接続を使用できます。FastConnect は 1 つの TCP 接続だけを使用し、RAS は登録、アドミッション、およびステータス用に 1 つの UDP 接続を使用します。

H.323 クライアントは、最初に TCP ポート 1720 を使用して、H.323 サーバへの TCP 接続を確立し、Q.931 コール セットアップを要求します。H.323 端末は、コール セットアップ プロセスの一部として、H.245 TCP 接続に使用するため、クライアントに 1 つのポート番号を供給します。H.323 ゲートキーパーが使用されている環境では、初期パケットは UDP を使用して送信されます。

H.323 検査は、Q.931 TCP 接続を監視して、H.245 ポート番号を決定します。H.323 端末が、FastConnect を使用していない場合は、セキュリティ アプライアンスが H.225 メッセージの検査に基づいて、H.245 接続をダイナミックに割り当てます。

各 H.245 メッセージ内で、H.323 エンドポイントが、後続の UDP データ ストリームに使用するポート番号を交換します。H.323 検査は、H.245 メッセージを調査して、ポート番号を識別し、メディア交換用の接続をダイナミックに作成します。RTP はネゴシエートされたポート番号を使用し、RTCP はその次に高いポート番号を使用します。

H.323 コントロール チャネルは、H.225、H.245、および H.323 RAS を処理します。H.323 検査では、次のポートが使用されます。

1718:ゲートキーパー検出 UDP ポート

1719:RAS UDP ポート

1720:TCP 制御ポート

H.225 コール シグナリング用に予約済み H.323 ポート 1720 のトラフィックを許可する必要があります。ただし、H.245 シグナリング ポートは、H.225 シグナリングのエンドポイント間でネゴシエートされます。H.323 ゲートキーパーの使用時には、セキュリティ アプライアンスは、ACF メッセージの検査に基づいて、H.225 接続を開きます。

H.225 メッセージを検査した後、セキュリティ アプライアンスは H.245 チャネルを開き、H.245 チャネルで送信されるトラフィックも検査します。セキュリティ アプライアンスを通過するすべての H.245 メッセージは、H.245 アプリケーション検査を受けます。この検査では、埋め込み IP アドレスが変換され、H.245 メッセージでネゴシエートされたメディア チャネルが開かれます。

H.323 ITU 標準では、メッセージ長を定義する TPKT ヘッダーが最初に送信されてから、H.225 と H.245 が信頼できる接続上を送信されることが要求されています。TPKT ヘッダーは、必ずしも H.225 メッセージや H.245 メッセージと同一の TCP パケットで送信される必要はないため、セキュリティ アプライアンスは、メッセージを正しく処理して復号化するために TPKT 長を記憶しておく必要があります。セキュリティ アプライアンスは、次のメッセージに備えて、TPKT 長が含まれるレコードを接続ごとに保持します。

セキュリティ アプライアンスでメッセージ内の IP アドレスに NAT を行う必要がある場合、チェックサム、UUIE 長、および TPKT(H.225 メッセージが入っている TCP パケットに含まれている場合)は変更されます。TPKT が別の TCP パケットで送信される場合、セキュリティ アプライアンスがその TPKT へのプロキシ ACK を実行し、新しい TPKT を新しい長さで H.245 メッセージに追加します。


) セキュリティ アプライアンスは、TPKT に対する ACK の代理処理では TCP オプションをサポートしていません。


H.323 検査を通過するパケットが通る各 UDP 接続は、H.323 接続としてマークされ、 timeout コマンドで設定された H.323 タイムアウト値でタイムアウトします。


) ゲートキーパーがネットワーク内部にあるときは H.323 エンドポイント間でのコール セットアップをイネーブルにできます。セキュリティ アプライアンスには、RegistrationRequest/RegistrationConfirm(RRQ/RCF)メッセージに基づいてコール用のピンホールを開くオプションがあります。これらの RRQ/RCF メッセージはゲートキーパーとの間で送受信されるため、発信側のエンドポイントの IP アドレスは未知であり、セキュリティ アプライアンスは発信元の IP アドレス/ポート 0/0 を通じてピンホールを開きます。デフォルトでは、このオプションはディセーブルになっています。H.323 エンドポイント間のコール セットアップをイネーブルにするには、H.323 検査ポリシー マップを作成中のパラメータ コンフィギュレーション モード時に ras-rcf-pinholes enable コマンドを開始します。「検査制御を追加するための H.323 検査ポリシー マップの設定」を参照してください。


制限事項

H.323 アプリケーション検査の使用に関して、次の既知の問題および制限があります。

スタティック PAT は、H.323 メッセージのオプション フィールドに埋め込まれた IP アドレスを正しく変換できないことがあります。この問題が発生した場合は、H.323 でスタティック PAT を使用しないでください。

H.323 アプリケーション検査は、同一セキュリティ レベルのインターフェイス間の NAT ではサポートされていません。

NetMeeting クライアントが H.323 ゲートキーパーに登録し、同じく H.323 ゲートキーパーに登録されている H.323 ゲートウェイを呼び出そうとすると、接続は確立されますが、どちらの方向でも音声が聞こえません。この問題は、セキュリティ アプライアンスの問題ではありません。

ネットワーク スタティック アドレスを設定した場合、このネットワーク スタティック アドレスが第三者のネットマスクおよびアドレスと同じであると、すべての発信 H.323 接続が失敗します。

検査制御を追加するための H.323 検査ポリシー マップの設定

メッセージがパラメータに違反したときのアクションを指定するには、H.323 検査ポリシー マップを作成します。作成した検査ポリシー マップは、「アプリケーション検査の設定」に従って H.323 検査をイネーブルにすると適用できます。

H.323 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 (オプション)「正規表現の作成」に従って、1 つ以上の正規表現をトラフィック照合コマンドに追加して使用できるようにします。ステップ 3 に記載されている match コマンドで照合できるテキストのタイプを参照してください。

ステップ 2 (オプション)「正規表現クラス マップの作成」に従って、1 つ以上の正規表現のクラス マップを作成して正規表現をグループ化します。

ステップ 3 (オプション)次の手順に従って、H.323 検査のクラス マップを作成します。

クラス マップは複数のトラフィックとの照合をグループ化します。クラス マップと一致するには、トラフィックは、 すべての match コマンドと一致する必要があります。または、 match コマンドを直接ポリシー マップに指定することができます。クラス マップを作成することと検査ポリシー マップでトラフィックとの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるということです。

クラス マップと照合しないトラフィックを指定するには、 match not コマンドを使用します。たとえば、 match not コマンドで文字列「example.com」を指定すると、「example.com」が含まれるすべてのトラフィックはクラス マップと照合されません。

このクラス マップで特定するトラフィックに対して、接続のドロップ、リセット、接続のロギングなどのアクションを検査ポリシー マップに指定できます。

match コマンドごとに異なるアクションを実行する場合、ポリシー マップに直接トラフィックを特定する必要があります。

a. 次のコマンドを入力して、クラス マップを作成します。

hostname(config)# class-map type inspect h323 [match-all | match-any] class_map_name
hostname(config-cmap)#
 

class_map_name には、クラス マップの名前を指定します。 match-all キーワードはデフォルトです。トラフィックがクラス マップと一致するには、すべての基準と一致する必要があることを指定します。 match-any キーワードは、トラフィックが少なくとも基準の 1 つに一致したらクラス マップと一致することを指定します。CLI がクラス マップ コンフィギュレーション モードに入り、1 つ以上の match コマンドを入力できます。

b. (オプション)クラス マップに説明を追加するには、次のコマンドを入力します。

hostname(config-cmap)# description string
 

string には、クラス マップの説明を 200 文字以内で指定します。

c. (オプション)受信側を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] called-party regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

d. (オプション)メディア タイプを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] media-type {audio | data | video}
 

ステップ 4 H.323 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect h323 policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 5 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 6 一致したトラフィックにアクションを適用するには、次の手順を実行します。

a. 次のいずれかの方法を使用して、アクションを実行するトラフィックを指定します。

次のコマンドを入力して、ステップ 3 で作成した H.323 クラス マップを指定します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

ステップ 3 で説明されている match コマンドのいずれかを使用して、ポリシー マップにトラフィックを直接指定します。 match not コマンドを使用すると、 match not コマンドの基準に一致しないすべてのトラフィックにアクションが適用されます。

b. 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。

hostname(config-pmap-c)# {[drop [send-protocol-error] | drop-connection [send-protocol-error]| mask | reset] [log] | rate-limit message_rate}
 

match コマンドまたは class コマンドですべてのオプションを使用できるわけではありません。使用できる正確なオプションについては、CLI ヘルプまたは『 Cisco Security Appliance Command Reference 』を参照してください。

drop キーワードを指定すると、一致するすべてのパケットをドロップします。

send-protocol-error キーワードを指定すると、プロトコル エラー メッセージを送信します。

drop-connection キーワードを指定すると、パケットをドロップし、接続を閉じます。

mask キーワードを指定すると、パケットの一致部分をマスクします。

reset キーワードを指定すると、パケットをドロップして接続を閉じ、サーバとクライアントの両方またはいずれかに TCP リセットを送信します。

log キーワードを指定すると、システム ログ メッセージを送信します。このキーワードは単独で、または他のキーワードのいずれかと一緒に使用できます。

rate-limit message_rate 引数では、メッセージのレートを制限します。

ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。 class コマンドと match コマンドの順序については、「検査ポリシー マップのアクションの定義」を参照してください。

ステップ 7 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. H.323 エンドポイント間でのコール セットアップをイネーブルにするには、次のコマンドを入力します。

hostname(config-pmap-p)# ras-rcf-pinholes enable
 

ゲートキーパーがネットワーク内部にあるときは H.323 エンドポイント間でのコール セットアップをイネーブルにできます。セキュリティ アプライアンスには、RegistrationRequest/RegistrationConfirm(RRQ/RCF)メッセージに基づいてコール用のピンホールを開くオプションがあります。これらの RRQ/RCF メッセージはゲートキーパーとの間で送受信されるため、発信側のエンドポイントの IP アドレスは未知であり、セキュリティ アプライアンスは発信元の IP アドレス/ポート 0/0 を通じてピンホールを開きます。デフォルトでは、このオプションはディセーブルになっています。

c. H.323 コールの制限時間を定義するには、次のコマンドを入力します。

hostname(config-pmap-p)# call-duration-limit time
 

time には、コールの制限時間を秒単位で指定します。範囲は 0:0:0 ~ 1163:0:0 です。値 0 は、タイムアウトしないことを示します。

d. コール セットアップで発信側の番号を使用させるには、次のコマンドを入力します。

hostname(config-pmap-p)# call-party-number
 

e. H.245 トンネル ブロッキングを実施するには、次のコマンドを入力します。

hostname(config-pmap-p)# h245-tunnel-block action {drop-connection | log}
 

f. hsi グループを定義し、hsi グループ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap-p)# hsi-group id
 

id には hsi グループ ID を指定します。範囲は 0 ~ 2147483647 です。

hsi グループに hsi を追加するには、hsi グループ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-h225-map-hsi-grp)# hsi ip_address
 

ip_address には、追加するホストを指定します。hsi グループごとに最大 5 つのホストを指定できます。

hsi グループにエンドポイントを追加するには、hsi グループ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-h225-map-hsi-grp)# endpoint ip_address if_name
 

ip_address には追加するエンドポイント、if_name にはエンドポイントがセキュリティ アプライアンスへの接続に使用するインターフェイスを指定します。hsi グループごとに最大 10 個のエンドポイントを使用できます。

g. ピンホールに流れる RTP パケットがプロトコルに準拠しているかどうかをチェックするには、次のコマンドを入力します。

hostname(config-pmap-p)# rtp-conformance [enforce-payloadtype]
 

enforce-payloadtype キーワードを指定すると、シグナリング交換に基づいてペイロード タイプを強制的に音声やビデオにします。

h. ステート チェック検証をイネーブルにするには、次のコマンドを入力します。

hostname(config-pmap-p)# state-checking {h225 | ras}
 


 

次の例は、電話番号のフィルタリングを設定する方法を示しています。

hostname(config)# regex caller 1 “5551234567”
hostname(config)# regex caller 2 “5552345678”
hostname(config)# regex caller 3 “5553456789”
 
hostname(config)# class-map type inspect h323 match-all h323_traffic
hostname(config-pmap-c)# match called-party regex caller1
hostname(config-pmap-c)# match calling-party regex caller2
 
hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# class h323_traffic
hostname(config-pmap-c)# drop
 

H.323 および H.225 タイムアウト値の設定

H.225 シグナリング接続を閉じるまでのアイドル時間を設定するには、 timeout h225 コマンドを使用します。H.225 タイムアウトのデフォルトは 1 時間です。

H.323 制御接続を閉じるまでのアイドル時間を設定するには、 timeout h323 コマンドを使用します。デフォルトは 5 分です。

H.323 検査の確認と監視

ここでは、H.323 セッションに関する情報を表示する方法について説明します。次の項目を取り上げます。

「H.225 セッションの監視」

「H.245 セッションの監視」

「H.323 RAS セッションの監視」

H.225 セッションの監視

show h225 コマンドは、セキュリティ アプライアンスを越えて確立されている H.225 セッションの情報を表示します。このコマンドは、 debug h323 h225 event debug h323 h245 event 、および show local-host コマンドとともに、H.323 検査エンジンの問題のトラブルシューティングに使用されます。

show h225 show h245 、または show h323-ras コマンドを入力する前に、 pager コマンドを設定することをお勧めします。多くのセッション レコードが存在し、 pager コマンドが設定されていない場合、 show コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。異常なほど多くの接続が存在する場合は、デフォルトのタイムアウト値または設定した値に基づいてセッションがタイムアウトしているかどうか確認します。タイムアウトしていなければ問題があるため、調査が必要です。

次に、 show h225 コマンドの出力例を示します。

hostname# show h225
Total H.323 Calls: 1
1 Concurrent Call(s) for
Local: 10.130.56.3/1040 Foreign: 172.30.254.203/1720
1. CRV 9861
Local: 10.130.56.3/1040 Foreign: 172.30.254.203/1720
0 Concurrent Call(s) for
Local: 10.130.56.4/1050 Foreign: 172.30.254.205/1720
 

この出力は、現在セキュリティ アプライアンスを通過しているアクティブ H.323 コールが 1 つ、ローカル エンドポイント 10.130.56.3 と外部のホスト 172.30.254.203 の間にあることを示しています。また、これらの特定のエンドポイントの間に、同時コールが 1 つあり、そのコールの CRV が 9861 であることを示しています。

ローカル エンドポイント 10.130.56.4 と外部ホスト 172.30.254.205 に対して、同時コールは 0 です。つまり H.225 セッションがまだ存在しているものの、このエンドポイント間にはアクティブ コールがないことを意味します。この状況は、 show h225 コマンドを実行したときに、コールはすでに終了しているが、H.225 セッションがまだ削除されていない場合に発生する可能性があります。または、2 つのエンドポイントが、「maintainConnection」を TRUE に設定しているため、TCP 接続をまだ開いたままにしていることを意味する可能性もあります。したがって、「maintainConnection」を再度 FALSE に設定するまで、またはコンフィギュレーション内の H.225 タイムアウト値に基づくセッションのタイムアウトが起こるまで、セッションは開いたままになります。

H.245 セッションの監視

show h245 コマンドは、スロースタートを使用しているエンドポイントがセキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します。スロースタートは、コールの 2 つのエンドポイントが H.245 用の別の TCP コントロール チャネルを開いた場合です。ファスト スタートは、H.245 メッセージが H.225 コントロール チャネル上の H.225 メッセージの一部として交換された場合です。このコマンドは、 debug h323 h245 event debug h323 h225 event 、および show local-host の各コマンドとともに、H.323 検査エンジンの問題のトラブルシューティングに使用されます。

次に、 show h245 コマンドの出力例を示します。

hostname# show h245
Total: 1
LOCAL TPKT FOREIGN TPKT
1 10.130.56.3/1041 0 172.30.254.203/1245 0
MEDIA: LCN 258 Foreign 172.30.254.203 RTP 49608 RTCP 49609
Local 10.130.56.3 RTP 49608 RTCP 49609
MEDIA: LCN 259 Foreign 172.30.254.203 RTP 49606 RTCP 49607
Local 10.130.56.3 RTP 49606 RTCP 49607
 

セキュリティ アプライアンスを越えているアクティブな H.245 コントロール セッションが、現在 1 つあります。ローカル エンドポイントは、10.130.56.3 であり、TPKT 値が 0 であることから、このエンドポイントからの次のパケットには TPKT ヘッダーがあると予測します。TKTP ヘッダーは、各 H.225/H.245 メッセージの前に送られる 4 バイトのヘッダーです。このヘッダーで、この 4 バイトのヘッダーを含むメッセージの長さがわかります。外部のホストのエンドポイントは、172.30.254.203 であり、TPKT 値が 0 であることから、このエンドポイントからの次のパケットには TPKT ヘッダーがあると予測します。

これらのエンドポイント間でネゴシエートされたメディアには、258 という LCN があり、外部に 172.30.254.203/49608 という RTP IP アドレス/ポート ペアと 172.30.254.203/49609 という RTCP IP アドレス/ポート ペアを持ち、ローカルに 10.130.56.3/49608 という RTP IP アドレス/ポート ペアと 49609 という RTCP ポートを持っています。

259 という 2 番目の LCN には、外部に 172.30.254.203/49606 という RTP IP アドレス/ポート ペアと 172.30.254.203/49607 という RTCP IP アドレス/ポート ペアがあり、ローカルに 10.130.56.3/49606 という RTP IP アドレス/ポート ペアと 49607 という RTCP ポートを持っています。

H.323 RAS セッションの監視

show h323-ras コマンドは、セキュリティ アプライアンスを越えてゲートキーパーとその H.323 エンドポイントの間に確立されている H.323 RAS セッションの情報を表示します。このコマンドは、 debug h323 ras event および show local-host コマンドとともに、H.323 RAS 検査エンジンの問題のトラブルシューティングに使用されます。

show h323-ras コマンドは、H.323 検査エンジンの問題のトラブルシューティングに使用される接続情報を表示します。次に、 show h323-ras コマンドの出力例を示します。

hostname# show h323-ras
Total: 1
GK Caller
172.30.254.214 10.130.56.14
 

この出力は、ゲートキーパー 172.30.254.214 とそのクライアント 10.130.56.14 の間にアクティブな登録が 1 つあることを示しています。

HTTP 検査

この項では、HTTP 検査エンジンについて説明します。次の項目を取り上げます。

「HTTP 検査の概要」

「検査制御を追加するための HTTP 検査ポリシー マップの設定」

HTTP 検査の概要

HTTP 検査エンジンを使用して、特定の攻撃、および HTTP トラフィックに関係する可能性があるその他の脅威から保護します。HTTP 検査は、次のようないくつかの機能を実行します。

拡張 HTTP 検査

N2H2 または Websense を使用する URL のスクリーニング

Java と ActiveX のフィルタリング

後の 2 つの機能は、 filter コマンドとともに設定します。フィルタリングの詳細については、「フィルタリング サービスの適用」を参照してください。

拡張 HTTP 検査機能はアプリケーション ファイアウォールとも呼ばれ、HTTP マップを設定すると使用できます(「検査制御を追加するための HTTP 検査ポリシー マップの設定」を参照)。これによって、攻撃者がネットワーク セキュリティ ポリシーに従わない HTTP メッセージを使用できないようにします。この機能は、すべての HTTP メッセージについて次のことを確認します。

RFC 2616 への準拠

RFC で定義された方式だけを使用していること

追加の基準への準拠

検査制御を追加するための HTTP 検査ポリシー マップの設定

メッセージがパラメータに違反したときのアクションを指定するには、HTTP 検査ポリシー マップを作成します。作成した検査ポリシー マップは、「アプリケーション検査の設定」に従って HTTP 検査をイネーブルにすると適用できます。


) HTTP 検査ポリシー マップを使用して HTTP 検査をイネーブルにすると、デフォルトでは、アクション reset および log を使用した厳密な HTTP 検査がイネーブルになります。検査に合格しない場合に実行されるアクションは変更できますが、検査ポリシー マップがイネーブルのままである限り、厳密な検査をディセーブルにすることはできません。


HTTP 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 (オプション)「正規表現の作成」に従って、1 つ以上の正規表現をトラフィック照合コマンドに追加して使用できるようにします。ステップ 3 に記載されている match コマンドで照合できるテキストのタイプを参照してください。

ステップ 2 (オプション)「正規表現クラス マップの作成」に従って、1 つ以上の正規表現のクラス マップを作成して正規表現をグループ化します。

ステップ 3 (オプション)次の手順に従って、HTTP 検査のクラス マップを作成します。

クラス マップは複数のトラフィックとの照合をグループ化します。クラス マップと一致するには、トラフィックは、 すべての match コマンドと一致する必要があります。または、 match コマンドを直接ポリシー マップに指定することができます。クラス マップを作成することと検査ポリシー マップでトラフィックとの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるということです。

クラス マップと照合しないトラフィックを指定するには、 match not コマンドを使用します。たとえば、 match not コマンドで文字列「example.com」を指定すると、「example.com」が含まれるすべてのトラフィックはクラス マップと照合されません。

このクラス マップで特定するトラフィックに対して、ドロップ、接続のドロップ、リセット、マスク、レート制限の設定、接続のロギングなどのアクションを検査ポリシー マップに指定できます。

match コマンドごとに異なるアクションを実行する場合、ポリシー マップに直接トラフィックを特定する必要があります。

a. 次のコマンドを入力して、クラス マップを作成します。

hostname(config)# class-map type inspect http [match-all | match-any] class_map_name
hostname(config-cmap)#
 

class_map_name には、クラス マップの名前を指定します。 match-all キーワードはデフォルトです。トラフィックがクラス マップと一致するには、すべての基準と一致する必要があることを指定します。 match-any キーワードは、トラフィックが少なくとも基準の 1 つに一致したらクラス マップと一致することを指定します。CLI がクラス マップ コンフィギュレーション モードに入り、1 つ以上の match コマンドを入力できます。

b. (オプション)クラス マップに説明を追加するには、次のコマンドを入力します。

hostname(config-cmap)# description string
 

c. (オプション)HTTP 応答の [content-type] フィールドが、対応する HTTP 要求メッセージの [accept] フィールドと一致しないトラフィックを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] req-resp content-type mismatch
 

d. (オプション)HTTP 要求メッセージの引数に含まれるテキストを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] request args regex [regex_name | class regex_class_name]
 

regex_name には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

e. (オプション)HTTP 要求メッセージ本文に含まれるテキストを照合するか、または HTTP 要求メッセージ本文の最大長を超えるトラフィックを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] request body {regex [regex_name | class regex_class_name] | length gt max_bytes}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。 length gt max_bytes には、メッセージ本文の最大長をバイト単位で指定します。

f. (オプション)HTTP 要求メッセージ ヘッダーに含まれるテキストを照合するか、ヘッダーのカウントまたは長さを制限するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] request header {[field] [regex [regex_name | class regex_class_name]] | [length gt max_length_bytes | count gt max_count_bytes]}
 

field には、事前定義済みのメッセージ ヘッダーのキーワードを指定します。 regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。 length gt max_bytes には、メッセージ本文の最大長をバイト単位で指定します。 count gt max_count には、ヘッダー フィールドの最大数を指定します。

g. (オプション)HTTP 要求メッセージ方式に含まれるテキストを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] request method {[method] | [regex [regex_name | class regex_class_name]]
 

method には、事前定義済みのメッセージ方式のキーワードを指定します。 regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

h. (オプション)HTTP 要求メッセージの URI に含まれるテキストを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] request uri {regex [regex_name | class regex_class_name] | length gt max_bytes}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。 length gt max_bytes には、メッセージ本文の最大長をバイト単位で指定します。

i. (オプション)HTTP 応答メッセージ本文に含まれるテキストを照合するか、Java アプレットと Active X オブジェクトのタグをコメントアウトしてフィルタリングするには、次のコマンドを入力します。

hostname(config-cmap)# match [not] response body {[active-x] | [java-applet] | [regex [regex_name | class regex_class_name]] | length gt max_bytes}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。 length gt max_bytes には、メッセージ本文の最大長をバイト単位で指定します。

j. (オプション)HTTP 応答メッセージ ヘッダーに含まれるテキストを照合するか、ヘッダーのカウントまたは長さを制限するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] response header {[field] [regex [regex_name | class regex_class_name]] | [length gt max_length_bytes | count gt max_count]}
 

field には、事前定義済みのメッセージ ヘッダーのキーワードを指定します。 regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。 length gt max_bytes には、メッセージ本文の最大長をバイト単位で指定します。 count gt max_count には、ヘッダー フィールドの最大数を指定します。

k. (オプション)HTTP 応答メッセージのステータス行に含まれるテキストを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] response status-line {regex [regex_name | class regex_class_name]}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

ステップ 4 HTTP 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect http policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 5 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 6 一致したトラフィックにアクションを適用するには、次の手順を実行します。

a. 次のいずれかの方法を使用して、アクションを実行するトラフィックを指定します。

次のコマンドを入力して、ステップ 3 で作成した HTTP クラス マップを指定します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

ステップ 3 で説明されている match コマンドのいずれかを使用して、ポリシー マップにトラフィックを直接指定します。 match not コマンドを使用すると、 match not コマンドの基準に一致しないすべてのトラフィックにアクションが適用されます。

b. 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。

hostname(config-pmap-c)# {[drop [send-protocol-error] | drop-connection [send-protocol-error]| mask | reset] [log] | rate-limit message_rate}
 

match コマンドまたは class コマンドですべてのオプションを使用できるわけではありません。使用できる正確なオプションについては、CLI ヘルプまたは『 Cisco Security Appliance Command Reference 』を参照してください。

drop キーワードを指定すると、一致するすべてのパケットをドロップします。

send-protocol-error キーワードを指定すると、プロトコル エラー メッセージを送信します。

drop-connection キーワードを指定すると、パケットをドロップし、接続を閉じます。

mask キーワードを指定すると、パケットの一致部分をマスクします。

reset キーワードを指定すると、パケットをドロップして接続を閉じ、サーバとクライアントの両方またはいずれかに TCP リセットを送信します。

log キーワードを指定すると、システム ログ メッセージを送信します。このキーワードは単独で、または他のキーワードのいずれかと一緒に使用できます。

rate-limit message_rate 引数では、メッセージのレートを制限します。

ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。 class コマンドと match コマンドの順序については、「検査ポリシー マップのアクションの定義」を参照してください。

ステップ 7 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. HTTP のプロトコル違反があるかどうかチェックするには、次のコマンドを入力します。

hostname(config-pmap-p)# protocol-violation [action [drop-connection | reset | log]]
 

drop-connection アクションを指定すると、接続を閉じます。 reset アクションを指定すると、接続を閉じ、クライアントに TCP リセットを送信します。 log アクションを指定すると、ポリシー マップがトラフィックに一致したときにシステム ログ メッセージを送信します。

c. ヘッダーのサーバ フィールドの文字列を置き換えるには、次のコマンドを入力します。

hostname(config-pmap-p)# spoof-server string
 

string 引数には、ヘッダーのサーバ フィールドと置き換える文字列を指定します。注:WebVPN のストリームは spoof-server コマンドの対象外です。


 

次の例は、HTTP 検査ポリシー マップを定義する方法を示します。この例では、「GET」または「PUT」メソッドで「www\.xyz.com/.*\.asp」または「www\.xyz[0-9][0-9]\.com」にアクセスを試みる HTTP 接続を許可し、ログに記録しています。その他の URL とメソッドの組み合せはすべて許可され、ログに記録されません。

hostname(config)# regex url1 “www\.xyz.com/.*\.asp”
hostname(config)# regex url2 “www\.xyz[0-9][0-9]\.com”
hostname(config)# regex get “GET”
hostname(config)# regex put “PUT”
 
hostname(config)# class-map type regex match-any url_to_log
hostname(config-cmap)# match regex url1
hostname(config-cmap)# match regex url2
hostname(config-cmap)# exit
 
hostname(config)# class-map type regex match-any methods_to_log
hostname(config-cmap)# match regex get
hostname(config-cmap)# match regex put
hostname(config-cmap)# exit
 
hostname(config)# class-map type inspect http http_url_policy
hostname(config-cmap)# match request uri regex class url_to_log
hostname(config-cmap)# match request method regex class methods_to_log
hostname(config-cmap)# exit
 
hostname(config)# policy-map type inspect http http_policy
hostname(config-pmap)# class http_url_policy
hostname(config-pmap-c)# log
 

インスタント メッセージ検査

この項では、インスタント メッセージ検査エンジンについて説明します。次の項目を取り上げます。

「インスタント メッセージ検査の概要」

「検査制御を追加するためのインスタント メッセージ検査ポリシー マップの設定」

インスタント メッセージ検査の概要

インスタント メッセージ(IM)検査エンジンを使用すると、IM アプリケーションの制御を細かく調整して、ネットワークの使用を制御し、機密データの漏えいやワームの繁殖などの企業のネットワークへの脅威を阻止できます。

検査制御を追加するためのインスタント メッセージ検査ポリシー マップの設定

メッセージがパラメータに違反したときのアクションを指定するには、IM 検査ポリシー マップを作成します。作成した検査ポリシー マップは、「アプリケーション検査の設定」に従って IM 検査をイネーブルにすると適用できます。

IM 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 (オプション)「正規表現の作成」に従って、1 つ以上の正規表現をトラフィック照合コマンドに追加して使用できるようにします。ステップ 3 に記載されている match コマンドで照合できるテキストのタイプを参照してください。

ステップ 2 (オプション)「正規表現クラス マップの作成」に従って、1 つ以上の正規表現のクラス マップを作成して正規表現をグループ化します。

ステップ 3 (オプション)次の手順に従って、IM 検査のクラス マップを作成します。

クラス マップは複数のトラフィックとの照合をグループ化します。クラス マップと一致するには、トラフィックは、 すべての match コマンドと一致する必要があります。または、 match コマンドを直接ポリシー マップに指定することができます。クラス マップを作成することと検査ポリシー マップでトラフィックとの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるということです。

クラス マップと照合しないトラフィックを指定するには、 match not コマンドを使用します。たとえば、 match not コマンドで文字列「example.com」を指定すると、「example.com」が含まれるすべてのトラフィックはクラス マップと照合されません。

このクラス マップで特定するトラフィックに対して、接続のドロップ、リセット、接続のロギングなどのアクションを検査ポリシー マップに指定できます。

match コマンドごとに異なるアクションを実行する場合、ポリシー マップに直接トラフィックを特定する必要があります。

a. 次のコマンドを入力して、クラス マップを作成します。

hostname(config)# class-map type inspect im [match-all | match-any] class_map_name
hostname(config-cmap)#
 

class_map_name には、クラス マップの名前を指定します。 match-all キーワードはデフォルトです。トラフィックがクラス マップと一致するには、すべての基準と一致する必要があることを指定します。 match-any キーワードは、トラフィックが少なくとも基準の 1 つに一致したらクラス マップと一致することを指定します。CLI がクラス マップ コンフィギュレーション モードに入り、1 つ以上の match コマンドを入力できます。

b. (オプション)クラス マップに説明を追加するには、次のコマンドを入力します。

hostname(config-cmap)# description string
 

string には、クラス マップの説明を 200 文字以内で指定します。

c. (オプション)特定の IM プロトコル(Yahoo や MSN など)のトラフィックを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] protocol {im-yahoo | im-msn}
 

d. (オプション)特定の IM サービス(チャット、ファイル転送、Web カメラ、音声チャット、会議、ゲームなど)を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] service {chat | file-transfer | webcam | voice-chat | conference | games}
 

e. (オプション)IM メッセージの送信元のログイン名を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] login-name regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

f. (オプション)IM メッセージの宛先のログイン名を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] peer-login-name regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

g. (オプション)IM メッセージの送信元の IP アドレスを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] ip-address ip_address ip_address_mask
 

ip_address と ip_address_mask には、メッセージの送信元の IP アドレスとネットマスクを指定します。

h. (オプション)IM メッセージの宛先の IP アドレスを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] peer-ip-address ip_address ip_address_mask
 

ip_address と ip_address_mask には、メッセージの宛先の IP アドレスとネットマスクを指定します。

i. (オプション)IM メッセージのバージョンを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] version regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

j. (オプション)IM メッセージのファイル名を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] filename regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。


) MSN IM プロトコルではサポートされていません。


ステップ 4 IM 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect im policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 5 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 6 次のいずれかの方法を使用して、アクションを実行するトラフィックを指定します。

次のコマンドを入力して、ステップ 3 で作成した IM クラス マップを指定します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

ステップ 3 で説明されている match コマンドのいずれかを使用して、ポリシー マップにトラフィックを直接指定します。 match not コマンドを使用すると、 match not コマンドの基準に一致しないすべてのトラフィックにアクションが適用されます。

ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。 class コマンドと match コマンドの順序については、「検査ポリシー マップのアクションの定義」を参照してください。

ステップ 7 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。

hostname(config-pmap-c)# {drop-connection | reset | log}
 

drop-connection アクションを指定すると、接続を閉じます。 reset アクションを指定すると、接続を閉じ、クライアントに TCP リセットを送信します。 log アクションを指定すると、ポリシー マップがトラフィックに一致したときにシステム ログ メッセージを送信します。


 

次の例は、IM 検査ポリシー マップを定義する方法を示しています。

hostname(config)# regex loginname1 “ying\@yahoo.com”
hostname(config)# regex loginname2 “Kevin\@yahoo.com”
hostname(config)# regex loginname3 “rahul\@yahoo.com”
hostname(config)# regex loginname4 “darshant\@yahoo.com”
hostname(config)# regex yahoo_version_regex “1\.0”
hostname(config)# regex gif_files “.*\.gif”
hostname(config)# regex exe_files “.*\.exe”
 
hostname(config)# class-map type regex match-any yahoo_src_login_name_regex
hostname(config-cmap)# match regex loginname1
hostname(config-cmap)# match regex loginname2
 
hostname(config)# class-map type regex match-any yahoo_dst_login_name_regex
hostname(config-cmap)# match regex loginname3
hostname(config-cmap)# match regex loginname4
 
hostname(config)# class-map type inspect im match-any yahoo_file_block_list
hostname(config-cmap)# match filename regex gif_files
hostname(config-cmap)# match filename regex exe_files
 
hostname(config)# class-map type inspect im match-all yahoo_im_policy
hostname(config-cmap)# match login-name regex class yahoo_src_login_name_regex
hostname(config-cmap)# match peer-login-name regex class yahoo_dst_login_name_regex
 
hostname(config)# class-map type inspect im match-all yahoo_im_policy2
hostname(config-cmap)# match version regex yahoo_version_regex
 
hostname(config)# class-map im_inspect_class_map
hostname(config-cmap)# match default-inspection-traffic
 
hostname(config)# policy-map type inspect im im_policy_all
hostname(config-pmap)# class yahoo_file_block_list
hostname(config-pmap-c)# match service file-transfer
hostname(config-pmap)# class yahoo_im_policy
hostname(config-pmap-c)# drop-connection
hostname(config-pmap)# class yahoo_im_policy2
hostname(config-pmap-c)# reset
hostname(config)# policy-map global_policy_name
hostname(config-pmap)# class im_inspect_class_map
hostname(config-pmap-c)# inspect im im_policy_all

ICMP 検査

ICMP 検査エンジンを使用すると、ICMP トラフィックが「セッション」を持つようになるため、TCP トラフィックや UDP トラフィックのように検査することが可能になります。ICMP 検査エンジンを使用しない場合、アクセス リストで ICMP にセキュリティ アプライアンスの通過を許可しないことをお勧めします。ステートフル インスペクションを実行しないと、ICMP がネットワーク攻撃に利用される可能性があります。ICMP 検査エンジンは、要求ごとに応答が 1 つだけであること、シーケンス番号が正しいことを確認します。

ICMP エラー検査

この機能がイネーブルの場合、セキュリティ アプライアンスは、NAT コンフィギュレーションに基づいて ICMP エラー メッセージを送信する中間ホップ用の変換セッションを作成します。セキュリティ アプライアンスは、変換後の IP アドレスでパケットを上書きします。

ディセーブルの場合、セキュリティ アプライアンスは、ICMP エラー メッセージを生成する中間ノード用の変換セッションを作成しません。内部ホストとセキュリティ アプライアンスの間にある中間ノードによって生成された ICMP エラー メッセージは、NAT リソースをそれ以上消費することなく、外部ホストに到達します。外部ホストが traceroute コマンドを使用してセキュリティ アプライアンスの内部にある宛先までのホップをトレースする場合、これは適切ではありません。セキュリティ アプライアンスが中間ホップを変換しない場合、すべての中間ホップは、マッピングされた宛先 IP アドレスとともに表示されます。

ICMP ペイロードがスキャンされて、元のパケットから 5 つのタプルが取得されます。取得した 5 つのタプルを使用してルックアップを実行し、クライアントの元のアドレスを判別します。ICMP エラー検査エンジンは、ICMP パケットに対して次の変更を加えます。

IP ヘッダー内のマッピング IP を実際の IP(宛先アドレス)に変更し、IP チェックサムを修正する。

ICMP パケットに変更を加えたため、ICMP ヘッダー内の ICMP チェックサムを修正する。

ペイロードに次の変更を加える。

元のパケットのマッピング IP を実際の IP に変更する。

元のパケットのマッピング ポートを実際のポートに変更する。

元のパケットの IP チェックサムを再計算する。

ILS 検査

ILS 検査エンジンは、LDAP を使用してディレクトリ情報を ILS サーバと交換する Microsoft NetMeeting、SiteServer、および Active Directory の各製品に対して NAT をサポートします。

セキュリティ アプライアンスは ILS に対して NAT をサポートします。NAT は、ILS または SiteServer Directory のエンドポイントの登録および検索で使用されます。LDAP データベースには IP アドレスだけが保存されるため、PAT はサポートされません。

LDAP サーバが外部にある場合、内部ピアが外部 LDAP サーバに登録された状態でローカルに通信できるように、検索応答に対して NAT を行うことを検討してください。このような検索応答では、最初に xlate が検索され、次に DNAT エントリが検索されて正しいアドレスが取得されます。これらの検索が両方とも失敗した場合、アドレスは変更されません。NAT 0(NAT なし)を使用していて、DNAT の相互作用を想定していないサイトの場合は、パフォーマンスを向上させるために検査エンジンをオフにすることをお勧めします。

ILS サーバがセキュリティ アプライアンス境界の内部にある場合は、さらに設定が必要なことがあります。この場合、指定されたポート(通常は TCP 389)の LDAP サーバに外部クライアントがアクセスするためのホールが必要となります。

ILS トラフィックはセカンダリ UDP チャネルだけで発生するため、TCP 接続は一定の間隔 TCP アクティビティがなければ切断されます。デフォルトでは、この間隔は 60 分です。この値は、 timeout コマンドを使用して調整できます。

ILS/LDAP はクライアント/サーバ モデルに従っており、セッションは 1 つの TCP 接続で処理されます。クライアントのアクションに応じて、このようなセッションがいくつか作成されることがあります。

接続ネゴシエーション時間中、クライアントからサーバに BIND PDU が送信されます。サーバから成功を示す BIND RESPONSE を受信すると、ILS Directory に対する操作を実行するためのその他の操作メッセージ(ADD、DEL、SEARCH、MODIFY など)が交換される場合があります。ADD REQUEST PDU および SEARCH RESPONSE PDU には、NetMeeting セッションを確立するために H.323(SETUP および CONNECT メッセージ)によって使用される、NetMeeting ピアの IP アドレスが含まれている場合があります。Microsoft NetMeeting v2.X および v3.X は、ILS をサポートしています。

ILS 検査では、次の操作が実行されます。

BER 復号化機能を使用して LDAP REQUEST PDU/RESPONSE PDU を復号化する。

LDAP パケットを解析する。

IP アドレスを抽出する。

必要に応じて IP アドレスを変換する。

BER 符号化機能を使用して、変換後のアドレスが含まれる PDU を符号化する。

新しく符号化された PDU を元の TCP パケットにコピーする。

TCP チェックサムとシーケンス番号の増分を調整する。

ILS 検査には、次の制限事項があります。

参照要求および応答はサポートされない。

複数のディレクトリ内のユーザは統合されない。

1 人のユーザが複数のディレクトリで複数の ID を持つ場合、NAT はそのユーザを認識できない。


) H225 コール シグナリング トラフィックはセカンダリ UDP チャネルだけで発生するため、TCP timeout コマンドで指定された間隔が経過すると、TCP 接続は切断されます。デフォルトで、この間隔は 60 分に設定されています。


MGCP 検査

この項では、MGCP アプリケーション検査について説明します。次の項目を取り上げます。

「MGCP 検査の概要」

「検査制御を追加するための MGCP 検査ポリシー マップの設定」

「MGCP タイムアウト値の設定」

「MGCP 検査の確認と監視」

MGCP 検査の概要

MGCP は、メディア ゲートウェイ コントローラまたはコール エージェントと呼ばれる外部呼制御要素からメディア ゲートウェイを制御するために使用するマスター/スレーブ プロトコルです。メディア ゲートウェイは一般に、電話回線を通じた音声信号と、インターネットまたは他のパケット ネットワークを通じたデータ パケットとの間の変換を行うネットワーク要素です。NAT および PAT を MGCP とともに使用すると、限られた外部(グローバル)アドレスのセットで、内部ネットワークの多数のデバイスをサポートできます。メディア ゲートウェイの例は次のとおりです。

トランキング ゲートウェイ。電話ネットワークと Voice over IP ネットワークとの間のインターフェイスです。このようなゲートウェイは通常、大量のデジタル回線を管理します。

住宅用ゲートウェイ。従来のアナログ(RJ11)インターフェイスを Voice over IP ネットワークに提供します。住宅用ゲートウェイの例としては、ケーブル モデムやケーブル セットトップ ボックス、xDSL 装置、ブロードバンド ワイヤレス装置などがあります。

ビジネス ゲートウェイ。従来のデジタル PBX(構内交換機)インターフェイスまたは統合 soft PBX インターフェイスを Voice over IP ネットワークに提供します。


) ASA バージョン 7.1 からのアップグレード時にポリシーがエラーにならないように、レイヤ 7 およびレイヤ 3 のポリシーにはすべて固有の名前を付ける必要があります。たとえば、以前に設定されたポリシー マップの名前が以前に設定された MGCP マップと同じである場合は、アップグレードの前に変更する必要があります。


MGCP メッセージは UDP を介して送信されます。応答はコマンドの送信元アドレス(IP アドレスと UDP ポート番号)に返送されますが、コマンド送信先と同じアドレスからの応答は到達しない場合があります。これは、複数のコール エージェントがフェールオーバー コンフィギュレーションで使用されているときに、コマンドを受信したコール エージェントが制御をバックアップ コール エージェントに引き渡し、バックアップ コール エージェントが応答を送信する場合に起こる可能性があります。図 26-4 に、MGCP でどのように NAT が使用されるかを示します。

図 26-4 NAT と MGCP の使用

 

MGCP エンドポイントは、物理または仮想のデータ送信元および宛先です。メディア ゲートウェイには、他のマルチメディア エンドポイントとのメディア セッションを確立して制御するために、コール エージェントが接続を作成、変更、および削除できるエンドポイントが含まれています。また、コール エージェントは、特定のイベントを検出してシグナルを生成するようにエンドポイントに指示できます。エンドポイントは、サービス状態の変化を自動的にコール エージェントに伝達します。

MGCP トランザクションは、コマンドと必須応答で構成されます。次の 8 種類のコマンドがあります。

CreateConnection

ModifyConnection

DeleteConnection

NotificationRequest

Notify

AuditEndpoint

AuditConnection

RestartInProgress

最初の 4 つのコマンドは、コール エージェントからゲートウェイに送信されます。Notify コマンドは、ゲートウェイからコール エージェントに送信されます。ゲートウェイは、DeleteConnection を送信することもあります。MGCP ゲートウェイをコール エージェントに登録するには、RestartInProgress コマンドを使用します。AuditEndpoint コマンドおよび AuditConnection コマンドは、コール エージェントからゲートウェイに送信されます。

すべてのコマンドは、コマンドヘッダーと、その後ろに続くオプションのセッション記述で構成されます。すべての応答は、応答ヘッダーと、その後ろに続くオプションのセッション記述で構成されます。

ゲートウェイがコール エージェントからのコマンドを受信するポート。通常、ゲートウェイは UDP ポート 2427 を受信します。

コール エージェントがゲートウェイからのコマンドを受信するポート。通常、コールエージェントは UDP ポート 2727 を受信します。


) MGCP 検査では、MGCP シグナリングと RTP データで異なる IP アドレスを使用することはサポートされていません。一般的かつ推奨される方法は、ループバック IP アドレスや仮想 IP アドレスなどの復元力のある IP アドレスから RTP データを送信することです。ただし、セキュリティ アプライアンスは、MGCP シグナリングと同じアドレスから RTP データを受信する必要があります。


検査制御を追加するための MGCP 検査ポリシー マップの設定

セキュリティ アプライアンスがピンホールを開く必要のあるコール エージェントとゲートウェイがネットワークに複数ある場合、MGCP マップを作成します。作成した MGCP マップは、「アプリケーション検査の設定」に従って MGCP 検査をイネーブルにすると適用できます。

MGCP マップを作成するには、次の手順を実行します。


ステップ 1 MGCP 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect mgcp map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 2 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 3 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. コール エージェントを設定するには、コール エージェントごとに次のコマンドを入力します。

hostname(config-pmap-p)# call-agent ip_address group_id
 

1 つ以上のゲートウェイを管理できるコール エージェントのグループを指定するには、 call-agent コマンドを使用します。コール エージェントのグループ情報は、どのコール エージェントも応答を送信できるように、グループ内の(ゲートウェイがコマンドを送信する先以外の)コール エージェントに接続を開くために使用されます。同じ group_id のコール エージェントは、同じグループに属します。1 つのコール エージェントは複数のグループに所属できます。 group_id オプションには、0 ~ 4294967295 の数字を指定します。 ip_address オプションには、コール エージェントの IP アドレスを指定します。


) MGCP コール エージェントは、AUEP メッセージを送信して、MGCP エンドポイントが存在するかどうかを判定します。これによって、セキュリティ アプライアンスを通過するフローが確立され、MGCP エンドポイントをコール エージェントに登録できます。


c. ゲートウェイを設定するには、ゲートウェイごとに次のコマンドを入力します。

hostname(config-pmap-p)# gateway ip_address group_id
 

特定のゲートウェイを管理しているコール エージェントのグループを指定するには、 gateway コマンドを使用します。 ip_address オプションを使用して、ゲートウェイの IP アドレスを指定します。 group_id オプションには 0 ~ 4294967295 の数字を指定します。この数字は、ゲートウェイを管理しているコール エージェントの group_id に対応している必要があります。1 つのゲートウェイは 1 つのグループだけに所属できます。

d. MGCP コマンド キューに入れることができるコマンドの最大数を変更するには、次のコマンドを入力します。

hostname(config-pmap-p)# command-queue command_limit
 


 

次の例は、MGCP マップを定義する方法を示しています。

hostname(config)# policy-map type inspect mgcp sample_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# call-agent 10.10.11.5 101
hostname(config-pmap-p)# call-agent 10.10.11.6 101
hostname(config-pmap-p)# call-agent 10.10.11.7 102
hostname(config-pmap-p)# call-agent 10.10.11.8 102
hostname(config-pmap-p)# gateway 10.10.10.115 101
hostname(config-pmap-p)# gateway 10.10.10.116 102
hostname(config-pmap-p)# gateway 10.10.10.117 102
hostname(config-pmap-p)# command-queue 150
 

MGCP タイムアウト値の設定

timeout mgcp コマンドを使用して、MGCP メディア接続を閉じるまでの非アクティビティ間隔を設定できます。デフォルトは 5 分です。

timeout mgcp-pat コマンドを使用して、PAT xlate のタイムアウトを設定できます。MGCP にはキープアライブ メカニズムがないため、Cisco 以外の MGCP ゲートウェイ(コール エージェント)を使用すると、デフォルトのタイムアウト間隔(30 秒)の後で PAT xlate は切断されます。

MGCP 検査の確認と監視

show mgcp commands コマンドは、コマンド キュー内の MGCP コマンド数を表示します。 show mgcp sessions コマンドは、既存の MGCP セッション数を表示します。 detail オプションは、各コマンド(またはセッション)に関する追加情報を出力に含めます。次に、 show mgcp commands コマンドの出力例を示します。

hostname# show mgcp commands
1 in use, 1 most used, 200 maximum allowed
CRCX, gateway IP: host-pc-2, transaction ID: 2052, idle: 0:00:07
 

次に、 show mgcp detail コマンドの出力例を示します。

hostname# show mgcp commands detail
1 in use, 1 most used, 200 maximum allowed
CRCX, idle: 0:00:10
Gateway IP host-pc-2
Transaction ID 2052
Endpoint name aaln/1
Call ID 9876543210abcdef
Connection ID
Media IP 192.168.5.7
Media port 6058
 

次に、 show mgcp sessions コマンドの出力例を示します。

hostname# show mgcp sessions
1 in use, 1 most used
Gateway IP host-pc-2, connection ID 6789af54c9, active 0:00:11
 

次に、 show mgcp sessions detail コマンドの出力例を示します。

hostname# show mgcp sessions detail
1 in use, 1 most used
Session active 0:00:14
Gateway IP host-pc-2
Call ID 9876543210abcdef
Connection ID 6789af54c9
Endpoint name aaln/1
Media lcl port 6166
Media rmt IP 192.168.5.7
Media rmt port 6058
 

MMP 検査

セキュリティ アプライアンスには、CUMA Mobile Multiplexing Protocol(MMP)を検証するための検査エンジンが組み込まれています。

モビリティ アドバンテージ機能用に TLS プロキシを設定する詳細については、「Cisco Unified Mobility と MMP 検査エンジン」を参照してください。

MMP は、CUMA クライアントとサーバとの間でデータ エンティティを伝送するためのデータ転送プロトコルです。図 26-5 に示すように、MMP は、コネクション型プロトコル(基盤となる転送)の上位で実行する必要があり、TLS などのセキュアな転送プロトコルの上位で実行することを前提としています。HTTP プロトコルが大規模ファイルのアップロードおよびダウンロードで使用される場合と同様に、Orative Markup Language(OML)プロトコルは、データ同期の目的で MMP の上位で実行されることが前提となっています。

図 26-5 MMP スタック

 

TCP および TLS のデフォルト ポートは 5443 です。埋め込み NAT またはセカンダリ接続はありません。

CUMA クライアントとサーバの通信は、TLS を通じてプロキシ処理できます。TLS を通じてプロキシ処理できます。TLS は、データを復号化し、MMP の検査モジュールにこのデータを渡して、エンドポイントに転送する前にデータを再暗号化します。MMP の検査モジュールは、MMP ヘッダーの整合性を検査して、OML と HTTP を適切なハンドラに渡します。MMP ヘッダーおよびデータに対し、セキュリティ アプライアンスは、次のアクションを行います。

クライアントの MMP ヘッダーの形式が正しいことを検証する。不正な形式のヘッダーが検出されると、TCP セッションは終了されます。

クライアントからサーバへの MMP ヘッダーが規定の長さを超過していないかを検証する。MMP ヘッダー長が 4096 を超えると、TCP セッションは終了されます。

クライアントからサーバの MMP コンテンツが規定の長さを超過していないかを検証する。エンティティのコンテンツの長さが 4096 を超えると、TCP セッションは終了されます。


) 4096 は、MMP の実装で現在使用されている値です。


MMP ヘッダーとエンティティは複数のパケットに分割できるため、セキュリティ アプライアンスはデータをバッファリングして一貫性が保たれていることを検査します。Stream API(SAPI; ストリーム API)は、保留中の検査を行うためにデータ バッファリングを処理します。MMP ヘッダー テキストは、大文字小文字を区別せずに扱われ、ヘッダー テキストと値の間にはスペースが存在します。TCP 接続のステートをモニタリングすることで、MMP ステートの再要求が実行されます。これらの接続のタイムアウトは、 timeout コマンドで設定可能な既存の値に従います。

MMP 検査は、デフォルトでディセーブルになっています。イネーブルにすると、MMP 検査は、TCP 宛先と送信元ポート 5443 で実行されます。

TLS プロキシ用 MMP 検査の設定

次のプロシージャで、TLS プロキシ用の MMP 検査の設定手順を説明します。

ただし、モビリティ アドバンテージ機能用に TLS プロキシを設定する必要がある場合は、「Cisco Unified Mobility と MMP 検査エンジン」を参照して、TLS プロキシの全機能を動作させるために必要なすべての手順を実行してください。


ステップ 1 次のコマンドを入力して、クラス マップを作成します。

hostname(config)# class-map class_map_name
 
Where class_map_name is the name of the class map.

ステップ 2 次のコマンドを入力して、ポートを設定します。

hostname(config-cmap)# match port tcp eq port
 

ステップ 3 次のコマンドを入力して、グローバル コンフィギュレーション モードに戻ります。

hostname(config-cmap)# exit
 

ステップ 4 次のコマンドを入力して、ポリシー マップを作成します。

hostname(config)# policy-map name
 

policy-map コマンド( type キーワード未指定)を使用して、レイヤ 3/4 クラス マップで識別するトラフィックにアクションを割り当てます。

ステップ 5 次のコマンドを入力して、ポリシー マップにクラス マップを割り当てます。このとき、このクラス マップのトラフィックにアクションを割り当てることができます。

hostname(config-pmap)# class classmap_name
 

ステップ 6 次のコマンドを入力して、MMP 検査エンジンを設定します。

hostname(config-pmap)# inspect mmp tls-proxy name
 
name は TLS プロキシのインスタンス名を指定します。tls-proxy キーワードを入力すると、MMP 検査の TLS プロキシがイネーブルになります。また、MMP プロトコルは、TCP トランスポートを使用できますが、CUMA クライアントのみをサポートします。したがって、tls-proxy キーワードでは、MMP 検査をイネーブルにする必要があります。

ステップ 7 次のコマンドを入力して、グローバル コンフィギュレーション モードに戻ります。

hostname(config-pmap)# exit
 

ステップ 8 次のコマンドを入力して、サービス ポリシーを設定します。

hostname(config)# service-policy policy_map_name global
 


 

NetBIOS 検査

NetBIOS 検査はデフォルトでイネーブルになっています。NetBios 検査エンジンは、セキュリティ アプライアンスの NAT コンフィギュレーションに基づいて、NetBios Name Service(NBNS; NetBios ネーム サービス)パケット内の IP アドレスを変換します。

検査制御を追加するための NetBIOS 検査ポリシー マップの設定

メッセージがパラメータに違反したときのアクションを指定するには、NetBIOS 検査ポリシー マップを作成します。作成した検査ポリシー マップは、「アプリケーション検査の設定」に従って NetBIOS 検査をイネーブルにすると適用できます。

NetBIOS 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 (オプション)「正規表現の作成」に従って、1 つ以上の正規表現をトラフィック照合コマンドに追加して使用できるようにします。ステップ 3 に記載されている match コマンドで照合できるテキストのタイプを参照してください。

ステップ 2 (オプション)「正規表現クラス マップの作成」に従って、1 つ以上の正規表現のクラス マップを作成して正規表現をグループ化します。

ステップ 3 NetBIOS 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect netbios policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 4 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 5 一致したトラフィックにアクションを適用するには、次の手順を実行します。

a. 次のいずれかの方法を使用して、アクションを実行するトラフィックを指定します。

次のコマンドを入力して、ステップ 3 で作成した NetBIOS クラス マップを指定します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

ステップ 3 で説明されている match コマンドのいずれかを使用して、ポリシー マップにトラフィックを直接指定します。 match not コマンドを使用すると、 match not コマンドの基準に一致しないすべてのトラフィックにアクションが適用されます。

b. 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。

hostname(config-pmap-c)# {[drop [send-protocol-error] | drop-connection [send-protocol-error]| mask | reset] [log] | rate-limit message_rate}
 

match コマンドまたは class コマンドですべてのオプションを使用できるわけではありません。使用できる正確なオプションについては、CLI ヘルプまたは『 Cisco Security Appliance Command Reference 』を参照してください。

drop キーワードを指定すると、一致するすべてのパケットをドロップします。

send-protocol-error キーワードを指定すると、プロトコル エラー メッセージを送信します。

drop-connection キーワードを指定すると、パケットをドロップし、接続を閉じます。

mask キーワードを指定すると、パケットの一致部分をマスクします。

reset キーワードを指定すると、パケットをドロップして接続を閉じ、サーバとクライアントの両方またはいずれかに TCP リセットを送信します。

log キーワードを指定すると、システム ログ メッセージを送信します。このキーワードは単独で、または他のキーワードのいずれかと一緒に使用できます。

rate-limit message_rate 引数では、メッセージのレートを制限します。

ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。 class コマンドと match コマンドの順序については、「検査ポリシー マップのアクションの定義」を参照してください。

ステップ 6 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. NetBIOS のプロトコル違反があるかどうかチェックするには、次のコマンドを入力します。

hostname(config-pmap-p)# protocol-violation [action [drop-connection | reset | log]]
 

drop-connection アクションを指定すると、接続を閉じます。 reset アクションを指定すると、接続を閉じ、クライアントに TCP リセットを送信します。 log アクションを指定すると、ポリシー マップがトラフィックに一致したときにシステム ログ メッセージを送信します。


 

次の例は、NetBIOS 検査ポリシー マップを定義する方法を示しています。

hostname(config)# policy-map type inspect netbios netbios_map
hostname(config-pmap)# protocol-violation drop log
 
hostname(config)# policy-map netbios_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect netbios netbios_map
 

PPTP 検査

PPTP は、PPP トラフィックのトンネリングに使用されるプロトコルです。PPTP セッションは、1 つの TCP チャネルと通常 2 つの PPTP GRE トンネルで構成されます。TCP チャネルは、PPTP GRE トンネルのネゴシエートと管理に使用されるコントロール チャネルです。GRE トンネルは、2 つのホスト間の PPP セッションを伝送します。

PPTP アプリケーション検査は、イネーブルになると、PPTP プロトコル パケットを検査し、PPTP トラフィックを許可するために必要な GRE 接続と xlate をダイナミックに作成します。RFC 2637 で定義されているバージョン 1 だけがサポートされます。

PAT は、PPTP TCP コントロール チャネル上で修正バージョンの GRE(RFC 2637)がネゴシエートされたときに、その GRE に対してだけ実行されます。ポート アドレス変換は、未修正バージョンの GRE(RFC 1701、RFC 1702)には実行されません。

具体的には、 セキュリティ アプライアンス は、PPTP バージョン通知と発信コールの要求/応答シーケンスを検査します。RFC 2637 で定義されている PPTP バージョン 1 だけが検査されます。いずれかの側から通知されたバージョンがバージョン 1 でない場合、TCP コントロール チャネルでのそれ以降の検査はディセーブルになります。また、発信コールの要求と応答のシーケンスは追跡されます。接続と xlate は、後続のセカンダリ GRE データ トラフィックを許可するために、必要に応じてダイナミックに割り当てられます。

PPTP 検査エンジンは、PPTP トラフィックを PAT で変換できるように、イネーブルにする必要があります。また、PAT は、PPTP TCP コントロール チャネルで修正バージョンの GRE(RFC 2637)がネゴシエートされた場合に限り、その GRE に対してだけ実行されます。PAT は、未修正バージョンの GRE(RFC 1701、RFC 1702)には実行されません。

RFC 2637 で定義されているように、PPTP プロトコルは、主に、モデム バンク PPTP Access Concentrator(PAC; PPTP アクセス コンセントレータ)から開始されたヘッドエンド PPTP Network Server(PNS; PPTP ネットワーク サーバ)への PPP セッションのトンネリングに使用されます。このように使用された場合、PAC がリモート クライアントで PNS がサーバです。

ただし、Windows によって VPN で使用された場合、この関係は逆になります。PNS は、中央のネットワークにアクセスするためにヘッドエンド PAC への接続を開始するリモートのシングル ユーザ PC です。

RADIUS アカウンティング検査

よく知られている問題の 1 つに GPRS ネットワークでの過剰請求攻撃があります。過剰請求攻撃では、利用していないサービスについて料金を請求されるため、ユーザが怒りや不満を感じるおそれがあります。この場合、悪意のある攻撃者は、サーバへの接続をセットアップし、SGSN から IP アドレスを取得します。攻撃者がコールを終了しても、攻撃者のサーバはパケットの送信を続けます。このパケットは GGSN によってドロップされますが、サーバからの接続はアクティブなままです。攻撃者に割り当てられていた IP アドレスが解放され、正規ユーザに再割り当てされるため、正規ユーザは、攻撃者が利用するサービスの分まで請求されることになります。

RADIUS アカウンティング検査は、GGSN へのトラフィックが正規のものかどうかを確認することにより、このような攻撃を防ぎます。RADIUS アカウンティングの機能を正しく設定しておくと、セキュリティ アプライアンスは、RADIUS アカウンティング要求の開始メッセージと終了メッセージに含まれる Framed IP アトリビュートとの照合結果に基づいて接続を切断します。終了メッセージの Framed IP アトリビュートの IP アドレスが一致している場合、セキュリティ アプライアンスは、一致する IP アドレスを持つ送信元との接続をすべて検索します。

セキュリティ アプライアンスでメッセージを検証できるように、RADIUS サーバとの事前共有秘密キーを設定することもできます。事前共有秘密キーを設定しないと、セキュリティ アプライアンスは、メッセージの送信元を検証する必要がなく、その IP アドレス元が、RADIUS メッセージの送信を許可されているアドレスの 1 つかどうかだけをチェックします。


) GPRS での RADIUS アカウンティング検査の使用がイネーブルの場合、セキュリティ アプライアンスは、Accounting Request STOP メッセージ内の 3GPP-Session-Stop-Indicator をチェックして、セカンダリ PDP コンテキストを適切に処理します。具体的には、セキュリティ アプライアンスでは、ユーザ セッションと関連するすべての接続を終了する前に、Accounting Request STOP メッセージに 3GPP-SGSN-Address アトリビュートを含める必要があります。一部のサードパーティの GGSN は、デフォルトでこのアトリビュートを送信しない場合があります。


検査制御を追加するための RADIUS 検査ポリシー マップの設定

この機能を使用するには、 policy-map radius-accounting-map を指定してから、service-policy に適用し、トラフィックが to-the-box 検査の対象であることを指定します。

次の例では、この機能を正しく設定するために必要なコマンドをすべて使用しています。


ステップ 1 クラス マップとポートを設定します。

class-map type management c1
match port udp eq 1813

ステップ 2 ポリシー マップを作成し、アトリビュート、ホスト、およびキー設定用の正しいモードにアクセスするための parameter コマンドを使用して、RADIUS アカウンティング検査のパラメータを設定します。

policy-map type inspect radius-accounting radius_accounting_map
parameters
host 10.1.1.1 inside key 123456789
send response
enable gprs
validate-attribute 31

ステップ 3 サービス ポリシーを設定します。

policy-map global_policy
class c1
inspect radius-accounting radius_accounting_map
 
service-policy global_policy global

RSH 検査

RSH 検査はデフォルトでイネーブルになっています。RSH プロトコルは、TCP ポート 514 で RSH クライアントから RSH サーバへの TCP 接続を使用します。クライアントとサーバは、クライアントが STDERR 出力ストリームを受信する TCP ポート番号をネゴシエートします。RSH 検査は、必要に応じて、ネゴシエートされたポート番号の NAT をサポートします。

RTSP 検査

この項では、RTSP アプリケーション検査について説明します。次の項目を取り上げます。

「RTSP 検査の概要」

「RealPlayer の使用」

「制限事項」

RTSP 検査の概要

RTSP 検査エンジンを使用することにより、セキュリティ アプライアンスは RTSP パケットを通過させることができます。RTSP は、RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer、および Cisco IP/TV 接続によって使用されます。


) Cisco IP/TV では、RTSP TCP ポート 554 と TCP 8554 を使用します。


RTSP アプリケーションは、コントロール チャネルとしての TCP(例外的に UDP)とともに予約済みポート 554 を使用します。セキュリティ アプライアンスは、RFC 2326 に準拠して、TCP だけをサポートします。この TCP コントロール チャネルは、クライアント上で設定されている転送モードに応じて、音声/ビデオ トラフィックの送信に使用されるデータ チャネルのネゴシエーションに使用されます。

サポートされている RDT 転送は、rtp/avp、rtp/avp/udp、x-real-rdt、x-real-rdt/udp、x-pn-tng/udp です。

セキュリティ アプライアンスは、ステータス コード 200 の SETUP 応答メッセージを解析します。SETUP 応答メッセージが、着信方向に移動している場合は、サーバはセキュリティ アプライアンスとの相対位置関係で外部に存在することになるため、サーバから着信する接続に対してダイナミック チャネルを開くことが必要になります。この応答メッセージが発信方向である場合、セキュリティ アプライアンスは、ダイナミック チャネルを開く必要はありません。

RFC 2326 では、クライアント ポートとサーバ ポートが、SETUP 応答メッセージ内に含まれている必要はないため、セキュリティ アプライアンスでは、状態を維持し、SETUP メッセージ内のクライアント ポートを記憶します。QuickTime が、SETUP メッセージ内にクライアント ポートを設定すると、サーバは、サーバ ポートだけで応答します。

RTSP 検査は、PAT またはデュアル NAT をサポートしていません。また、セキュリティ アプライアンスは、RTSP メッセージが HTTP メッセージ内に隠される HTTP クローキングを認識できません。

RealPlayer の使用

RealPlayer を使用するときは、転送モードを正しく設定することが重要です。セキュリティ アプライアンスでは、サーバからクライアントに、またはその逆に access-list コマンドを追加します。RealPlayer の場合、[Options] > [[Preferences] > [Transport] > [RTSP Settings] をクリックして転送モードを変更します。

RealPlayer で TCP モードを使用する場合は、[Use TCP to Connect to Server] チェックボックスおよび [Attempt to use TCP for all content] チェックボックスをオンにします。セキュリティ アプライアンスで、検査エンジンを設定する必要はありません。

RealPlayer で UDP モードを使用する場合、[Use TCP to Connect to Server] チェックボックスおよび [Attempt to use UDP for static content, and for live content not available via Multicast] チェックボックスをオンにします。 セキュリティ アプライアンスで、 inspect rtsp port コマンドを追加します。

制限事項

inspect rtsp コマンドには、次の制限事項が適用されます。

セキュリティ アプライアンスは、マルチキャスト RTSP または UDP による RTSP メッセージをサポートしません。

セキュリティ アプライアンスには、RTSP メッセージが HTTP メッセージ内に隠されている HTTP クローキングを認識する機能はありません。

埋め込み IP アドレスが HTTP メッセージまたは RTSP メッセージの一部として SDP ファイル内に含まれているため、セキュリティ アプライアンスは、RTSP メッセージに NAT を実行できません。パケットはフラグメント化する可能性があり、セキュリティ アプライアンスはフラグメント化されたパケットに対して NAT を実行できません。

Cisco IP/TV では、メッセージの SDP 部分に対してセキュリティ アプライアンスが実行する変換の数は、Content Manager にあるプログラム リストの数に比例します(各プログラム リストには、少なくとも 6 個の埋め込み IP アドレスを含めることができます)。

Apple QuickTime 4 または RealPlayer 用の NAT を設定できます。Cisco IP/TV は、ビューアと Content Manager が外部ネットワークにあり、サーバが内部ネットワークにあるときにだけ NAT を使用できます。

検査制御を追加するための RTSP 検査ポリシー マップの設定

メッセージがパラメータに違反したときのアクションを指定するには、RTSP 検査ポリシー マップを作成します。作成した検査ポリシー マップは、「アプリケーション検査の設定」に従って RTSP 検査をイネーブルにすると適用できます。

RTSP 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 (オプション)「正規表現の作成」に従って、1 つ以上の正規表現をトラフィック照合コマンドに追加して使用できるようにします。ステップ 3 に記載されている match コマンドで照合できるテキストのタイプを参照してください。

ステップ 2 (オプション)「正規表現クラス マップの作成」に従って、1 つ以上の正規表現のクラス マップを作成して正規表現をグループ化します。

ステップ 3 (オプション)次の手順に従って、RTSP 検査のクラス マップを作成します。

クラス マップは複数のトラフィックとの照合をグループ化します。クラス マップと一致するには、トラフィックは、 すべての match コマンドと一致する必要があります。または、 match コマンドを直接ポリシー マップに指定することができます。クラス マップを作成することと検査ポリシー マップでトラフィックとの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるということです。

クラス マップと照合しないトラフィックを指定するには、 match not コマンドを使用します。たとえば、 match not コマンドで文字列「example.com」を指定すると、「example.com」が含まれるすべてのトラフィックはクラス マップと照合されません。

このクラス マップで特定するトラフィックに対して、接続のドロップや接続のロギングなどのアクションを検査ポリシー マップに指定できます。

match コマンドごとに異なるアクションを実行する場合、ポリシー マップに直接トラフィックを特定する必要があります。

a. 次のコマンドを入力して、クラス マップを作成します。

hostname(config)# class-map type inspect rtsp [match-all | match-any] class_map_name
hostname(config-cmap)#
 

class_map_name には、クラス マップの名前を指定します。 match-all キーワードはデフォルトです。トラフィックがクラス マップと一致するには、すべての基準と一致する必要があることを指定します。 match-any キーワードは、トラフィックが少なくとも基準の 1 つに一致したらクラス マップと一致することを指定します。CLI がクラス マップ コンフィギュレーション モードに入り、1 つ以上の match コマンドを入力できます。

b. (オプション)クラス マップに説明を追加するには、次のコマンドを入力します。

hostname(config-cmap)# description string
 

c. (オプション)RTSP の要求方式を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] request-method method
 

method には、照合する方式のタイプ(announce、describe、get_parameter、options、pause、play、record、redirect、setup、set_parameter、teardown)を指定します。

d. (オプション)URL フィルタリングを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] url-filter regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

ステップ 4 RTSP 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect rtsp policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 5 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 6 一致したトラフィックにアクションを適用するには、次の手順を実行します。

a. 次のいずれかの方法を使用して、アクションを実行するトラフィックを指定します。

次のコマンドを入力して、ステップ 3 で作成した RTSP クラス マップを指定します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

ステップ 3 で説明されている match コマンドのいずれかを使用して、ポリシー マップにトラフィックを直接指定します。 match not コマンドを使用すると、 match not コマンドの基準に一致しないすべてのトラフィックにアクションが適用されます。

b. 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。

hostname(config-pmap-c)# {[drop [send-protocol-error] | drop-connection [send-protocol-error]| mask | reset] [log] | rate-limit message_rate}
 

match コマンドまたは class コマンドですべてのオプションを使用できるわけではありません。使用できる正確なオプションについては、CLI ヘルプまたは『 Cisco Security Appliance Command Reference 』を参照してください。

drop キーワードを指定すると、一致するすべてのパケットをドロップします。

send-protocol-error キーワードを指定すると、プロトコル エラー メッセージを送信します。

drop-connection キーワードを指定すると、パケットをドロップし、接続を閉じます。

mask キーワードを指定すると、パケットの一致部分をマスクします。

reset キーワードを指定すると、パケットをドロップして接続を閉じ、サーバとクライアントの両方またはいずれかに TCP リセットを送信します。

log キーワードを指定すると、システム ログ メッセージを送信します。このキーワードは単独で、または他のキーワードのいずれかと一緒に使用できます。

rate-limit message_rate 引数では、メッセージのレートを制限します。

ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。 class コマンドと match コマンドの順序については、「検査ポリシー マップのアクションの定義」を参照してください。

ステップ 7 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. メディア ネゴシエーション用の予約済みポートの使用を制限するには、次のコマンドを入力します。

hostname(config-pmap-p)# reserve-port-protect
 

c. メッセージ内で許容される URL 長の制限を設定するには、次のコマンドを入力します。

hostname(config-pmap-p)# url-length-limit length
 

length 引数には、URL の長さをバイト単位で指定します(0 ~ 6000)。


 

次の例は、RTSP 検査ポリシー マップを定義する方法を示しています。

hostname(config)# regex badurl1 www.url1.com/rtsp.avi
hostname(config)# regex badurl2 www.url2.com/rtsp.rm
hostname(config)# regex badurl3 www.url3.com/rtsp.asp
 
hostname(config)# class-map type regex match-any badurl-list
hostname(config-cmap)# match regex badurl1
hostname(config-cmap)# match regex badurl2
hostname(config-cmap)# match regex badurl3
 
hostname(config)# policy-map type inspect rtsp rtsp-filter-map
hostname(config-pmap)# match url-filter regex class badurl-list
hostname(config-pmap-p)# drop-connection
 
hostname(config)# class-map rtsp-traffic-class
hostname(config-cmap)# match default-inspection-traffic
 
hostname(config)# policy-map rtsp-traffic-policy
hostname(config-pmap)# class rtsp-traffic-class
hostname(config-pmap-c)# inspect rtsp rtsp-filter-map
 
hostname(config)# service-policy rtsp-traffic-policy global

SIP 検査

この項では、SIP アプリケーション検査について説明します。次の項目を取り上げます。

「SIP 検査の概要」

「SIP インスタント メッセージ」

「SIP タイムアウト値の設定」

「SIP 検査の確認と監視」

SIP 検査の概要

IETF で定義されている SIP により、特に 2 者間の音声会議などのコール処理セッションまたは「コール」が使用可能になります。SIP は、コール シグナリング用の SDP で動作します。SDP は、メディア ストリーム用のポートを指定します。SIP を使用することにより、セキュリティ アプライアンスは SIP VoIP ゲートウェイおよび VoIP プロキシ サーバをサポートできます。SIP と SDP の定義は、次の RFC に記載されています。

SIP:セッション開始プロトコル、RFC 3261

SDP:セッション記述プロトコル、RFC 2327

セキュリティ アプライアンス経由の SIP コールをサポートする場合は、シグナリング メッセージは予約済みの宛先ポート(UDP/TCP 5060)経由で送信され、メディア ストリームはダイナミックに割り当てられるため、メディア接続アドレスのシグナリング メッセージ、メディア ポート、およびメディアの初期接続を検査する必要があります。また、SIP は、IP パケットのユーザデータ部分に IP アドレスを埋め込みます。SIP 検査は、それらの埋め込まれた IP アドレスに NAT を適用します。

PAT を SIP で使用する場合、次の制限事項が適用されます。

セキュリティ アプライアンスで保護されているネットワークの SIP プロキシにリモート エンドポイントを登録しようとすると、次のような一定の条件下で登録が失敗します。

PAT がリモート エンドポイント用に設定されている。

SIP レジストラ サーバが外部ネットワークにある。

エンドポイントからプロキシ サーバに送信された REGISTER メッセージの接続先フィールドにポートが設定されていない。

SDP 部分の所有者/作成者フィールド(o=)の IP アドレスが接続フィールド(c=)の IP アドレスと異なるパケットを SIP デバイスが送信すると、o= フィールドの IP アドレスが正しく変換されない場合があります。これは、o= フィールドでポート値を提供しない SIP プロトコルの制限によるものです。

次の制限は、PIX 500 シリーズのプラットフォームで SIP 検査を実行しているときに適用されます。

PIX 500 シリーズのプラットフォームは、6144 バイトを超える SIP メッセージの伝送をサポートしていません。これは、リアセンブリ上限の 8192 バイト(TCP プロキシ制限)が、セキュリティ アプライアンス メッセージ上限の 6144 バイトより大きいためです。Cisco Unified Personal Communicator クライアントが大量のバディ リストをダウンロードし、セキュリティ アプライアンスによって SIP トラフィックを検証する必要があると、この制限が適用される場合があります。ASA 5500 シリーズのプラットフォームにはこの制限はありません。

SIP インスタント メッセージ

インスタント メッセージとは、ほぼリアルタイムにユーザ間でメッセージを転送することです。SIP は、Windows Messenger RTC Client バージョン 4.7.0105 を使用する Windows XP のチャット機能だけをサポートします。次の RFC で定義されているように、MESSAGE/INFO 方式および 202 Accept 応答を使用して IM をサポートします。

Session Initiation Protocol(SIP)-Specific Event Notification、RFC 3265

Session Initiation Protocol(SIP)Extension for Instant Messaging、RFC 3428

MESSAGE/INFO 要求は、登録または加入の後、任意の時点で着信する可能性があります。たとえば、2 人のユーザはいつでもオンラインになる可能性がありますが、何時間もチャットをすることはありません。そのため、SIP 検査エンジンは、設定されている SIP タイムアウト値に従ってタイムアウトするピンホールを開きます。この値は、登録継続時間よりも 5 分以上長く設定する必要があります。登録継続時間は Contact Expires 値で定義し、通常 30 分です。

MESSAGE/INFO 要求は、通常、ポート 5060 以外の動的に割り当てられたポートを使用して送信されるため、SIP 検査エンジンを通過する必要があります。


) 現在は、チャット機能だけがサポートされています。ホワイトボード、ファイル転送、アプリケーション共有はサポートされていません。RTC Client 5.0 はサポートされていません。


SIP 検査は、テキストベースの SIP メッセージを変換し、メッセージの SDP 部分の内容長を再計算した後、パケット長とチェックサムを再計算します。また、エンドポイントが受信すべきアドレスまたはポートとして、SIP メッセージの SDP 部分に指定されたポートに対するメディア接続をダイナミックに開きます。

SIP 検査では、SIP ペイロードから取得したインデックス CALL_ID/FROM/TO を持つデータベースが使用されます。これらのインデックスにより、コール、送信元、宛先が識別されます。このデータベースには、SDP のメディア情報フィールド内で見つかったメディア アドレスとメディア ポート、およびメディア タイプが格納されます。1 つのセッションに対して、複数のメディア アドレスとポートが存在することが可能です。セキュリティ アプライアンスは、これらのメディア アドレス/ポートを使用して、2 つのエンドポイント間に RTP/RTCP 接続を開きます。

初期コール セットアップ(INVITE)メッセージでは、予約済みポート 5060 を使用する必要があります。ただし、後続のメッセージにはこのポート番号がない場合もあります。SIP 検査エンジンはシグナリング接続のピンホールを開き、それらの接続を SIP 接続としてマークします。これは、SIP アプリケーションに到達した変換対象のメッセージに対して行われます。

コールのセットアップ時に、SIP セッションは、着信側エンドポイントから応答メッセージでメディア アドレスとメディア ポートを受信し、着信側エンドポイントがどの RTP ポートで受信するかを知らされるまで「一時的な」状態にあります。1 分以内に、応答メッセージの受信に障害があった場合は、シグナリング接続は切断されます。

最終的なハンドシェイクが行われると、コール状態はアクティブに移行し、シグナリング接続は、BYE メッセージの受信まで継続されます。

内部エンドポイントが、外部エンドポイントに発呼した場合、メディア ホールが、外部インターフェイスに対して開き、内部エンドポイントから送信された INVITE メッセージで指定された内部エンドポイントのメディア アドレスとメディア ポートに、RTP/RTCP UDP パケットが流れることが許可されます。内部インターフェイスに対する要求外の RTP/RTCP UDP パケットは、セキュリティ アプライアンスのコンフィギュレーションで特別に許可されない限り、セキュリティ アプライアンスを通過できません。

検査制御を追加するための SIP 検査ポリシー マップの設定

メッセージがパラメータに違反したときのアクションを指定するには、SIP 検査ポリシー マップを作成します。作成した検査ポリシー マップは、「アプリケーション検査の設定」に従って SIP 検査をイネーブルにすると適用できます。

SIP 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 (オプション)「正規表現の作成」に従って、1 つ以上の正規表現をトラフィック照合コマンドに追加して使用できるようにします。ステップ 3 に記載されている match コマンドで照合できるテキストのタイプを参照してください。

ステップ 2 (オプション)「正規表現クラス マップの作成」に従って、1 つ以上の正規表現のクラス マップを作成して正規表現をグループ化します。

ステップ 3 (オプション)次の手順に従って、SIP 検査のクラス マップを作成します。

クラス マップは複数のトラフィックとの照合をグループ化します。クラス マップと一致するには、トラフィックは、 すべての match コマンドと一致する必要があります。または、 match コマンドを直接ポリシー マップに指定することができます。クラス マップを作成することと検査ポリシー マップでトラフィックとの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるということです。

クラス マップと照合しないトラフィックを指定するには、 match not コマンドを使用します。たとえば、 match not コマンドで文字列「example.com」を指定すると、「example.com」が含まれるすべてのトラフィックはクラス マップと照合されません。

このクラス マップで特定するトラフィックに対して、接続のドロップ、リセット、接続のロギングなどのアクションを検査ポリシー マップに指定できます。

match コマンドごとに異なるアクションを実行する場合、ポリシー マップに直接トラフィックを特定する必要があります。

a. 次のコマンドを入力して、クラス マップを作成します。

hostname(config)# class-map type inspect sip [match-all | match-any] class_map_name
hostname(config-cmap)#
 

class_map_name には、クラス マップの名前を指定します。match-all キーワードはデフォルトです。トラフィックがクラス マップと一致するには、すべての基準と一致する必要があることを指定します。match-any キーワードは、トラフィックが少なくとも基準の 1 つと一致したらクラス マップと一致することを指定します(CLI がクラス マップ コンフィギュレーション モードに入り、1 つ以上の match コマンドを入力できます)。

b. (オプション)クラス マップに説明を追加するには、次のコマンドを入力します。

hostname(config-cmap)# description string
 

string には、クラス マップの説明を 200 文字以内で指定します。

c. (オプション)To ヘッダーに指定されている受信側を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] called-party regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

d. (オプション)From ヘッダーに指定されている発信側を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] calling-party regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

e. (オプション)SIP ヘッダーのコンテンツの長さを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] content length gt length
 

length には、コンテンツの最小バイト数を指定します。0 ~ 65536 で指定します。

f. (オプション)SDP コンテンツ タイプまたは正規表現を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] content type {sdp | regex {class class_name | regex_name}}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

g. (オプション)SIP IM の登録者を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] im-subscriber regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

h. (オプション)SIP の via ヘッダーを照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] message-path regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

i. (オプション)SIP の要求方式を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] request-method method
 

method には、照合する方式のタイプ(ack、bye、cancel、info、invite、message、notify、options、prack、refer、register、subscribe、unknown、update)を指定します。

j. (オプション)第三者の登録の要求者を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] third-party-registration regex {class class_name | regex_name}
 

regex regex_name 引数には、ステップ 1 で作成した正規表現を指定します。 class regex_class_name には、ステップ 2 で作成した正規表現のクラス マップを指定します。

k. (オプション)SIP ヘッダー内の URI を照合するには、次のコマンドを入力します。

hostname(config-cmap)# match [not] uri {sip | tel} length gt length
 
Where length is the number of bytes the URI is greater than. 0 to 65536.

ステップ 4 SIP 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect sip policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 5 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 6 一致したトラフィックにアクションを適用するには、次の手順を実行します。

a. 次のいずれかの方法を使用して、アクションを実行するトラフィックを指定します。

次のコマンドを入力して、ステップ 3 で作成した SIP クラス マップを指定します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

ステップ 3 で説明されている match コマンドのいずれかを使用して、ポリシー マップにトラフィックを直接指定します。 match not コマンドを使用すると、 match not コマンドの基準に一致しないすべてのトラフィックにアクションが適用されます。

b. 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。

hostname(config-pmap-c)# {[drop [send-protocol-error] | drop-connection [send-protocol-error]| mask | reset] [log] | rate-limit message_rate}
 

match コマンドまたは class コマンドですべてのオプションを使用できるわけではありません。使用できる正確なオプションについては、CLI ヘルプまたは『 Cisco Security Appliance Command Reference 』を参照してください。

drop キーワードを指定すると、一致するすべてのパケットをドロップします。

send-protocol-error キーワードを指定すると、プロトコル エラー メッセージを送信します。

drop-connection キーワードを指定すると、パケットをドロップし、接続を閉じます。

mask キーワードを指定すると、パケットの一致部分をマスクします。

reset キーワードを指定すると、パケットをドロップして接続を閉じ、サーバとクライアントの両方またはいずれかに TCP リセットを送信します。

log キーワードを指定すると、システム ログ メッセージを送信します。このキーワードは単独で、または他のキーワードのいずれかと一緒に使用できます。

rate-limit message_rate 引数では、メッセージのレートを制限します。

ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。 class コマンドと match コマンドの順序については、「検査ポリシー マップのアクションの定義」を参照してください。

ステップ 7 検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. インスタント メッセージをイネーブルまたはディセーブルにするには、次のコマンドを入力します。

hostname(config-pmap-p)# im
 

c. IP アドレスのプライバシーをイネーブルまたはディセーブルにするには、次のコマンドを入力します。

hostname(config-pmap-p)# ip-address-privacy
 

d. ヘッダーの [Max-forwards] フィールドが 0 かどうか(宛先に届くまで 0 になることはない)のチェックをイネーブルにするには、次のコマンドを入力します。

hostname(config-pmap-p)# max-forwards-validation action {drop | drop-connection | reset | log} [log]
 

e. ピンホールに流れる RTP パケットがプロトコルに準拠しているかどうかのチェックをイネーブルにするには、次のコマンドを入力します。

hostname(config-pmap-p)# rtp-conformance [enforce-payloadtype]
 

enforce-payloadtype キーワードを指定すると、シグナリング交換に基づいてペイロード タイプを強制的に音声やビデオにします。

f. ヘッダーの [Server] フィールドと [User-Agent] フィールド(サーバまたはエンドポイントのソフトウェアのバージョンを示す)を特定するには、次のコマンドを入力します。

hostname(config-pmap-p)# software-version action {mask | log} [log]
 

mask キーワードを指定すると、SIP メッセージのソフトウェア バージョンをマスクします。

g. ステート チェック検証をイネーブルにするには、次のコマンドを入力します。

hostname(config-pmap-p)# state-checking action {drop | drop-connection | reset | log} [log]
 

h. RFC 3261 に準拠した、SIP メッセージのヘッダー フィールドの厳密な検証をイネーブルにするには、次のコマンドを入力します。

hostname(config-pmap-p)# strict-header-validation action {drop | drop-connection | reset | log} [log]
 

i. SIP 以外のトラフィックに予約済みの SIP シグナリング ポートの使用を許可するには、次のコマンドを入力します。

hostname(config-pmap-p)# traffic-non-sip
 

j. ヘッダーの [Alert-Info] フィールドと [Call-Info] フィールドにある SIP 以外の URI を特定するには、次のコマンドを入力します。

hostname(config-pmap-p)# uri-non-sip action {mask | log} [log]
 


 

次の例は、SIP を使用したインスタント メッセージをディセーブルにする方法を示しています。

hostname(config)# policy-map type inspect sip mymap
hostname(config-pmap)# parameters
hostname(config-pmap-p)# no im
 
hostname(config)# policy-map global_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect sip mymap
 
hostname(config)# service-policy global_policy global
 

SIP タイムアウト値の設定

メディア接続は、接続がアイドル状態になってから 2 分以内に切断されます。ただし、これは設定可能なタイムアウトであり、時間間隔は変更することが可能です。SIP 制御接続のタイムアウトを設定するには、次のコマンドを入力します。

hostname(config)# timeout sip hh:mm:ss
 

このコマンドは、SIP 制御接続を閉じるまでのアイドル タイムアウトを設定します。

SIP メディア接続のタイムアウトを設定するには、次のコマンドを入力します。

hostname(config)# timeout sip_media hh:mm:ss
 

このコマンドは、SIP メディア接続を閉じるまでのアイドル タイムアウトを設定します。

SIP 検査の確認と監視

show sip コマンドは、SIP 検査エンジンの問題のトラブルシューティングに役立ちます。説明は、 inspect protocol sip udp 5060 コマンドと一緒にします。 show timeout sip コマンドは、指示されているプロトコルのタイムアウト値を表示します。

show sip コマンドは、セキュリティ アプライアンスを越えて確立されている SIP セッションの情報を表示します。このコマンドは、 debug sip および show local-host コマンドとともに、SIP 検査エンジンの問題のトラブルシューティングに使用されます。


show sip コマンドを入力する前に pager コマンドを設定することをお勧めします。多くの SIP セッション レコードが存在し、pager コマンドが設定されていない場合、show sip コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。


次に、 show sip コマンドの出力例を示します。

hostname# show sip
Total: 2
call-id c3943000-960ca-2e43-228f@10.130.56.44
state Call init, idle 0:00:01
call-id c3943000-860ca-7e1f-11f7@10.130.56.45
state Active, idle 0:00:06
 

この例は、(Total フィールドで示されているように)セキュリティ アプライアンス上の 2 つのアクティブな SIP セッションを示しています。各 call-id は、コールを表しています。

最初のセッションは、call-id c3943000-960ca-2e43-228f@10.130.56.44 で、Call Init 状態にあります。これは、このセッションはまだコール セットアップ中であることを示しています。コール セットアップは、コールへの最後の応答が受信されるまでは完了しません。たとえば、発信者はすでに INVITE を送信して、100 Response を受信した可能性がありますが、200 OK はまだ受信していません。したがって、コール セットアップはまだ完了していません。1xx で始まっていない応答メッセージは最後の応答と考えられます。このセッションは、1 秒間アイドル状態でした。

2 番目のセッションは、Active 状態です。ここでは、コール セットアップは完了して、エンドポイントはメディアを交換しています。このセッションは、6 秒間アイドル状態でした。

Skinny(SCCP)検査

この項では、SCCP アプリケーション検査について説明します。次の項目を取り上げます。

「SCCP 検査の概要」

「Cisco IP Phone のサポート」

「制限事項」

「SCCP 検査の確認と監視」

SCCP 検査の概要

Skinny(SCCP)は、VoIP ネットワークで使用される簡易プロトコルです。SCCP を使用する Cisco IP Phone は、H.323 環境でも使用できます。Cisco CallManager と併用すると、SCCP クライアントは、H.323 準拠端末と同時使用できます。セキュリティ アプライアンスにおけるアプリケーション レイヤ機能では、SCCP Version 3.3 が認識されます。SCCP プロトコルには、2.4、3.0.4、3.1.1、3.2、3.3.2 の 5 つのバージョンがあります。セキュリティ アプライアンスは、バージョン 3.3.2 までのすべてのバージョンをサポートします。

セキュリティ アプライアンスは、SCCP に対して PAT と NAT をサポートします。IP 電話で使用できるグローバル IP アドレスよりも IP 電話が多い場合は、PAT が必要です。Skinny アプリケーション検査は、SCCP シグナリング パケットの NAT と PAT をサポートすることで、すべての SCCP シグナリング パケットとメディア パケットがセキュリティ アプライアンスを通過できるようにします。

Cisco CallManager と Cisco IP Phone 間の通常のトラフィックは SCCP を使用しており、特別な設定をしなくても SCCP 検査によって処理されます。セキュリティ アプライアンスは、TFTP サーバの場所を Cisco IP Phone とその他の DHCP クライアントに送信することで、DHCP オプション 150 および 66 もサポートします。Cisco IP Phone では、デフォルト ルートを設定する DHCP オプション 3 を要求に含めることもできます。詳細については、「DHCP サーバを利用する Cisco IP Phone の使用」を参照してください。

Cisco IP Phone のサポート

Cisco CallManager が Cisco IP Phone と比べてセキュリティの高いインターフェイスにあるトポロジでは、NAT が Cisco CallManager の IP アドレスに必要な場合、マッピングはスタティックである必要があります。これは、Cisco IP Phone では Cisco CallManager の IP アドレスをコンフィギュレーションで明示的に指定する必要があるためです。スタティック アイデンティティ エントリを使用すると、セキュリティが高いインターフェイス上にある Cisco CallManager が Cisco IP Phone からの登録を受け付けるようにできます。

Cisco IP Phone では、TFTP サーバにアクセスして、Cisco CallManager サーバに接続するために必要な設定情報をダウンロードする必要があります。

TFTP サーバと比較して Cisco IP Phone の方がセキュリティの低いインターフェイス上にある場合は、アクセス リストを使用して UDP ポート 69 の保護された TFTP サーバに接続する必要があります。TFTP サーバに対してはスタティック エントリが必要ですが、識別スタティック エントリにする必要はありません。NAT を使用する場合、識別スタティック エントリは同じ IP アドレスにマッピングされます。PAT を使用する場合は、同じ IP アドレスとポートにマッピングされます。

Cisco IP Phone が TFTP サーバおよび Cisco CallManager と比べてセキュリティの高いインターフェイス上にある場合、Cisco IP Phone が接続を開始できるようにするために、アクセス リストやスタティック エントリは必要ありません。

制限事項

SCCP に対する現在のバージョンの PAT および NAT サポートに適用される制限は、次のとおりです。

PAT は、alias コマンドを含むコンフィギュレーションでは動作しません。

外部 NAT および PAT はサポート されません

内部の Cisco CallManager のアドレスが NAT または PAT 用に別の IP アドレスかポートを設定している場合、セキュリティ アプライアンスは現在のところ TFTP を経由して転送するファイルの内容に対して NAT または PAT をサポートしていないため、外部の Cisco IP Phone 用の登録は失敗します。セキュリティ アプライアンスは TFTP メッセージの NAT をサポートし、TFTP ファイル用にピンホールを開きますが、セキュリティ アプライアンスは電話の登録中に TFTP によって転送された Cisco IP Phone のコンフィギュレーション ファイルに埋め込まれた Cisco CallManager の IP アドレスとポートを変換できません。


) セキュリティ アプライアンスは、コール セットアップ中のコールを除き、SCCP コールのステートフル フェールオーバーをサポートします。


SCCP 検査の確認と監視

show skinny コマンドは、SCCP(Skinny)検査エンジンの問題のトラブルシューティングに役立ちます。次の条件での show skinny コマンドの出力例を示します。セキュリティ アプライアンスを越えて 2 つのアクティブな Skinny セッションがセットアップされています。最初の Skinny セッションは、ローカル アドレス 10.0.0.11 にある内部 Cisco IP Phone と 172.18.1.33 にある外部 Cisco CallManager の間に確立されています。TCP ポート 2000 は、CallManager です。2 番目の Skinny セッションは、ローカル アドレス 10.0.0.22 にある別の内部 Cisco IP Phone と同じ Cisco CallManager の間に確立されています。

hostname# show skinny
LOCAL FOREIGN STATE
---------------------------------------------------------------
1 10.0.0.11/52238 172.18.1.33/2000 1
MEDIA 10.0.0.11/22948 172.18.1.22/20798
2 10.0.0.22/52232 172.18.1.33/2000 1
MEDIA 10.0.0.22/20798 172.18.1.11/22948
 

この出力は、2 つの内部 Cisco IP Phone 間でコールが確立されていることを示します。最初と 2 番目の電話機の RTP リスン ポートは、それぞれ UDP 22948 と 20798 です。

次に、これらの Skinny 接続の show xlate debug コマンドの出力例を示します。

hostname# show xlate debug
2 in use, 2 most used
Flags: D - DNS, d - dump, I - identity, i - inside, n - no random,
r - portmap, s - static
NAT from inside:10.0.0.11 to outside:172.18.1.11 flags si idle 0:00:16 timeout 0:05:00
NAT from inside:10.0.0.22 to outside:172.18.1.22 flags si idle 0:00:14 timeout 0:05:00
 

検査制御を追加するための Skinny(SCCP)検査ポリシー マップの設定

メッセージがパラメータに違反したときのアクションを指定するには、SCCP 検査ポリシー マップを作成します。作成した検査ポリシー マップは、「アプリケーション検査の設定」に従って SCCP 検査をイネーブルにすると適用できます。

SCCP 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 (オプション)「正規表現の作成」に従って、1 つ以上の正規表現をトラフィック照合コマンドに追加して使用できるようにします。ステップ 3 に記載されている match コマンドで照合できるテキストのタイプを参照してください。

ステップ 2 (オプション)「正規表現クラス マップの作成」に従って、1 つ以上の正規表現のクラス マップを作成して正規表現をグループ化します。

ステップ 3 SCCP 検査ポリシー マップを作成するには、次のコマンドを入力します。

hostname(config)# policy-map type inspect skinny policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシー マップの名前を指定します。CLI はポリシー マップ コンフィギュレーション モードに入ります。

ステップ 4 (オプション)このポリシー マップに説明を追加するには、次のコマンドを入力します。

hostname(config-pmap)# description string
 

ステップ 5 一致したトラフィックにアクションを適用するには、次の手順を実行します。

a. 次のいずれかの方法を使用して、アクションを実行するトラフィックを指定します。

次のコマンドを入力して、ステップ 3 で作成した SCCP クラス マップを指定します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

ステップ 3 で説明されている match コマンドのいずれかを使用して、ポリシー マップにトラフィックを直接指定します。 match not コマンドを使用すると、 match not コマンドの基準に一致しないすべてのトラフィックにアクションが適用されます。

b. 次のコマンドを入力して、一致したトラフィックに対して実行するアクションを指定します。

hostname(config-pmap-c)# {[drop [send-protocol-error] | drop-connection [send-protocol-error]| mask | reset] [log] | rate-limit message_rate}
 

match コマンドまたは class コマンドですべてのオプションを使用できるわけではありません。使用できる正確なオプションについては、CLI ヘルプまたは『 Cisco Security Appliance Command Reference 』を参照してください。

drop キーワードを指定すると、一致するすべてのパケットをドロップします。

send-protocol-error キーワードを指定すると、プロトコル エラー メッセージを送信します。

drop-connection キーワードを指定すると、パケットをドロップし、接続を閉じます。

mask キーワードを指定すると、パケットの一致部分をマスクします。

reset キーワードを指定すると、パケットをドロップして接続を閉じ、サーバとクライアントの両方またはいずれかに TCP リセットを送信します。

log キーワードを指定すると、システム ログ メッセージを送信します。このキーワードは単独で、または他のキーワードのいずれかと一緒に使用できます。

rate-limit message_rate 引数では、メッセージのレートを制限します。

ステップ 6 ポリシー マップには、複数の class コマンドまたは match コマンドを指定できます。 class コマンドと match コマンドの順序については、「検査ポリシー マップのアクションの定義」を参照してください。検査エンジンに影響のあるパラメータを設定するには、次の手順を実行します。

a. パラメータ コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config-pmap)# parameters
hostname(config-pmap-p)#
 

b. 登録を実行してコールを開始できるようにするには、次のコマンドを入力します。

hostname(config-pmap-p)# enforce-registration
 

c. SCCP のステーション メッセージ ID の許容最大値を設定するには、次のコマンドを入力します。

hostname(config-pmap-p)# message-ID max hex_value
 

hex_value 引数には、ステーション メッセージ ID を 16 進数で指定します。

d. ピンホールに流れる RTP パケットがプロトコルに準拠しているかどうかをチェックするには、次のコマンドを入力します。

hostname(config-pmap-p)# rtp-conformance [enforce-payloadtype]
 

enforce-payloadtype キーワードを指定すると、シグナリング交換に基づいてペイロード タイプを強制的に音声やビデオにします。

e. SCCP プレフィクス値の許容最小長と最大長を設定するには、次のコマンドを入力します。

hostname(config-pmap-p)# sccp-prefix-len {max | min} value_length
 

value_length 引数には、最大値または最小値を指定します。

f. シグナリングおよびメディア接続のタイムアウト値を設定するには、次のコマンドを入力します。

hostname(config-pmap-p)# timeout
 


 

次の例は、SCCP 検査ポリシー マップを定義する方法を示しています。

hostname(config)# policy-map type inspect skinny skinny-map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# enforce-registration
hostname(config-pmap-p)# match message-id range 200 300
hostname(config-pmap-p)# drop log
hostname(config)# class-map inspection_default
hostname(config-cmap)# match default-inspection-traffic
hostname(config)# policy-map global_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect skinny skinny-map
hostname(config)# service-policy global_policy global
 

SMTP および拡張 SMTP 検査

ESMTP アプリケーション検査を使用すると、セキュリティ アプライアンスを通過できる SMTP コマンドの種類を制限し、監視機能を追加することによって、SMTP ベースの攻撃からより強固に保護できます。

ESMTP は SMTP プロトコルの拡張で、ほとんどの観点で SMTP に似ています。便宜上、このマニュアルでは、SMTP という用語を SMTP と ESMTP の両方に使用します。拡張 SMTP に対するアプリケーション検査処理は、SMTP アプリケーション検査に似ており、SMTP セッションのサポートが含まれています。拡張 SMTP セッションで使用するほとんどのコマンドは、SMTP セッションで使用するコマンドと同じですが、ESMTP セッションの方が大幅に高速で、配信ステータス通知など信頼性およびセキュリティに関するオプションが増えています。

拡張 SMTP アプリケーション検査では、AUTH、EHLO、ETRN、HELP、SAML、SEND、SOML、VRFY の 8 つの拡張 SMTP コマンドのサポートが追加されます。セキュリティ アプライアンスは、7 つの RFC 821 コマンド(DATA、HELO、MAIL、NOOP、QUIT、RCPT、RSET)をサポートするとともに、合計 15 の SMTP コマンドをサポートします。

その他の拡張 SMTP コマンド(ATRN、STARTLS、ONEX、VERB、CHUNKING など)、およびプライベート拡張はサポートされません。サポートされないコマンドは、内部サーバにより拒否される X に変換されます。この結果は、「500 Command unknown: 'XXX'」のようなメッセージで表示されます。不完全なコマンドは、廃棄されます。

ESMTP 検査エンジンは、文字「2」、「0」、「0」を除くサーバの SMTP バナーの文字をアスタリスクに変更します。復帰(CR)、および改行(LF)は無視されます。

SMTP 検査をイネーブルにする場合、次の規則に従わないと、対話型の SMTP に使用する Telnet セッションが停止することがあります。SMTP コマンドの長さは 4 文字以上にする必要があります。復帰と改行で終了する必要があります。次の応答を発行する前に現在の応答を待機する必要があります。

SMTP サーバは、数値の応答コード、およびオプションの可読文字列でクライアント要求に応答します。SMTP アプリケーション検査は、ユーザが使用できるコマンドとサーバが返送するメッセージを制御し、その数を減らします。SMTP 検査は、次の 3 つの主要なタスクを実行します。

SMTP 要求を 7 つの基本 SMTP コマンドと 8 つの拡張コマンドに制限します。

SMTP コマンド応答シーケンスを監視します。

監査証跡の生成:メール アドレス内に埋め込まれている無効な文字が置き換えられたときに、監査レコード 108002 を生成します。詳細については、RFC 821 を参照してください。

SMTP 検査では、次の異常なシグニチャがないかどうか、コマンドと応答のシーケンスを監視します。

切り捨てられたコマンド。

不正なコマンド終端(<CR><LR> で終了していない)。

MAIL コマンドと RCPT コマンドでは、メールの送信者と受信者が指定されます。異常な文字がないか、メール アドレスがスキャンされます。パイプ(|)が削除(空白スペースに変更)され、「<」および「>」については、メール アドレスの定義に使用される場合だけ許可されます(「<」の後には、必ず「>」が使用されている必要があります)。

SMTP サーバによる不意の移行。

未知のコマンドに対しては、セキュリティ アプライアンスはパケット内のすべての文字を X に変更します。この場合、サーバがクライアントに対してエラー コードを生成します。パケット内が変更されているため、TCP チェックサムは、再計算または調節する必要があります。

TCP ストリーム編集。

コマンド パイプライン。

SNMP 検査

SNMP アプリケーション検査では、SNMP トラフィックを特定のバージョンの SNMP に制限できます。以前のバージョンの SNMP は安全性が低いため、セキュリティ ポリシーを使用して特定の SNMP バージョンを拒否する必要が生じる場合もあります。セキュリティ アプライアンスは、SNMP バージョン 1、2、2c、または 3 を拒否できます。許可するバージョンは、SNMP マップを作成して制御します。作成した SNMP マップは、「アプリケーション検査の設定」に従って SNMP 検査をイネーブルにすると適用できます。

SNMP 検査ポリシー マップを作成するには、次の手順を実行します。


ステップ 1 SNMP マップを作成するには、次のコマンドを入力します。

hostname(config)# snmp-map map_name
hostname(config-snmp-map)#
 

map_name には、SNMP マップの名前を指定します。CLI は SNMP マップ コンフィギュレーション モードに入ります。

ステップ 2 拒否する SNMP のバージョンを指定するには、バージョンごとに次のコマンドを入力します。

hostname(config-snmp-map)# deny version version
hostname(config-snmp-map)#
 

version には、1、2、2c、3 のいずれかを指定します。


 

次の例では、SNMP バージョン 1 および 2 を拒否しています。

hostname(config)# snmp-map sample_map
hostname(config-snmp-map)# deny version 1
hostname(config-snmp-map)# deny version 2
 

SQL*Net 検査

SQL*Net 検査はデフォルトでイネーブルになっています。

SQL*Net プロトコルは、さまざまなパケット タイプで構成されています。セキュリティ アプライアンスはこれらのパケットを処理して、セキュリティ アプライアンスのどちらの側の Oracle アプリケーションにも一貫性のあるデータ ストリームが表示されるようにします。

SQL*Net のデフォルトのポート割り当ては 1521 です。これは、Oracle が SQL*Net 用に使用している値ですが、Structured Query Language(SQL; 構造化照会言語)の IANA ポート割り当てとは一致しません。SQL*Net 検査を一連のポート番号に適用するには、 class-map コマンドを使用します。


) SQL が制御する TCP ポート 1521 と同じポートで SQL データ転送が発生する場合は、SQL*Net 検査をディセーブルにします。SQL*Net 検査がイネーブルになっていると、セキュリティ アプライアンスはプロキシとして動作し、クライアントのウィンドウ サイズが 65000 からおよそ 16000 に縮小され、データ転送に問題が発生します。


セキュリティ アプライアンスは、すべてのアドレスを変換し、パケットを調べて、SQL*Net バージョン 1 用に開くすべての埋め込みポートを見つけます。

SQL*Net バージョン 2 の場合、データ長ゼロの REDIRECT パケットの直後に続くすべての DATA パケットまたは REDIRECT パケットはフィックスアップされます。

フィックスアップが必要なパケットには、埋め込みホスト アドレスおよびポート アドレスが次の形式で含まれています。

(ADDRESS=(PROTOCOL=tcp)(DEV=6)(HOST=a.b.c.d)(PORT=a))
 

SQL*Net バージョン 2 の各 TNSFrame タイプ(Connect、Accept、Refuse、Resend、Marker)は、NAT 対象のアドレスがあるかどうかがスキャンされません。また、検査がパケット内に埋め込まれたポートにダイナミック接続を開くこともありません。

SQL*Net バージョン 2 の TNSFrame、Redirect パケット、および Data パケットは、ペイロードのデータ長がゼロの REDIRECT TNSFrame タイプの後に続く場合、開くポートおよび NAT 対象のアドレスがあるかどうかスキャンされます。データ長ゼロの Redirect メッセージがセキュリティ アプライアンスを通過すると、後に続く Data メッセージまたは Redirect メッセージは変換対象であり、ポートはダイナミックに開かれると想定するフラグが、接続データ構造に設定されます。先行するパラグラフの TNS フレームのいずれかが Redirect メッセージの後に到着した場合、フラグはリセットされます。

SQL*Net 検査エンジンは、チェックサムを再計算し、IP および TCP の長さを変更し、新旧のメッセージの長さの差を使用してシーケンス番号と確認応答番号を再調整します。

SQL*Net バージョン 1 では、その他のすべての場合を想定しています。TNSFrame タイプ(Connect、Accept、Refuse、Resend、Marker、Redirect、Data)とすべてのパケットは、ポートおよびアドレスがあるかどうかスキャンされます。アドレスが変換され、ポート接続が開かれます。

Sun RPC 検査

この項では、Sun RPC アプリケーション検査について説明します。次の項目を取り上げます。

「Sun RPC 検査の概要」

「Sun RPC サービスの管理」

「Sun RPC 検査の確認と監視」

Sun RPC 検査の概要

Sun RPC 検査エンジンは、Sun RPC プロトコルのアプリケーション検査をイネーブルまたはディセーブルにします。Sun RPC は、NFS および NIS で使用されます。Sun RPC サービスはどのポート上でも実行できます。サーバ上の Sun RPC サービスにアクセスしようとするクライアントは、そのサービスが実行されているポートを知る必要があります。そのためには、予約済みポート 111 でポート マッパー プロセス(通常は rpcbind)に照会します。

クライアントがサービスの Sun RPC プログラム番号を送信すると、ポート マッパー プロセスはサービスのポート番号を応答します。クライアントは、ポート マッパー プロセスによって特定されたポートを指定して、Sun RPC クエリーをサーバに送信します。サーバが応答すると、セキュリティ アプライアンスはこのパケットを代行受信し、そのポートで TCP と UDP の両方の初期接続を開きます。


Sun RPC ペイロード情報の NAT または PAT はサポートされていません。


Sun RPC サービスの管理

Sun RPC サービス テーブルを使用して、確立された Sun RPC セッションに基づいてセキュリティ アプライアンスを経由する Sun RPC トラフィックを制御します。Sun RPC サービス テーブルのエントリを作成するには、グローバル コンフィギュレーション モードで sunrpc-server コマンドを使用します。

hostname(config)# sunrpc-server interface_name ip_address mask service service_type protocol {tcp | udp} port[-port] timeout hh:mm:ss
 

このコマンドを使用して、Sun RPC アプリケーション検査で開いたピンホールを閉じるまでのタイムアウトを指定できます。たとえば、IP アドレスが 192.168.100.2 の Sun RPC サーバに対して 30 分のタイムアウトを作成するには、次のコマンドを入力します。

hostname(config)# sunrpc-server inside 192.168.100.2 255.255.255.255 service 100003 protocol tcp 111 timeout 00:30:00
 

このコマンドは、Sun RPC アプリケーション検査で開いたピンホールが 30 分後に閉じるように指定します。この例では、Sun RPC サーバは TCP ポート 111 を使用する内部インターフェイスにあります。UDP、別のポート番号、ポート範囲を指定することもできます。ポート範囲を指定するには、範囲の開始ポート番号と終了ポート番号をハイフンで区切ります(111-113 など)。

サービス タイプは、特定のサービス タイプとそのサービスに使用するポート番号の間のマッピングを特定します。サービス タイプ(この例では 100003)を判定するには、Sun RPC サーバ マシンの UNIX または Linux のコマンドラインで、 sunrpcinfo コマンドを使用します。

Sun RPC コンフィギュレーションを消去するには、次のコマンドを入力します。

hostname(config)# clear configure sunrpc-server
 

これによって、 sunrpc-server コマンドを使用して実行されるコンフィギュレーションが削除されます。 sunrpc-server コマンドを使用して、指定したタイムアウト値を持つピンホールを作成できます。

アクティブな Sun RPC サービスを消去するには、次のコマンドを入力します。

hostname(config)# clear sunrpc-server active
 

これによって、そのサービス(NFS、NIS など)で Sun RPC アプリケーション検査が開いたピンホールが消去されます。

Sun RPC 検査の確認と監視

この項の出力例では、Sun RPC サーバの IP アドレスは 192.168.100.2 で内部インターフェイスにあり、Sun RPC クライアントの IP アドレスは 209.168.200.5 で外部インターフェイスにあるものとします。

現在の Sun RPC 接続に関する情報を表示するには、 show conn コマンドを入力します。次に、 show conn コマンドの出力例を示します。

hostname# show conn
15 in use, 21 most used
UDP out 209.165.200.5:800 in 192.168.100.2:2049 idle 0:00:04 flags -
UDP out 209.165.200.5:714 in 192.168.100.2:111 idle 0:00:04 flags -
UDP out 209.165.200.5:712 in 192.168.100.2:647 idle 0:00:05 flags -
UDP out 192.168.100.2:0 in 209.165.200.5:714 idle 0:00:05 flags i
hostname(config)#
 

Sun RPC サービス テーブル コンフィギュレーションに関する情報を表示するには、 show running-config sunrpc-server コマンドを入力します。次に、 show running-config sunrpc-server コマンドの出力例を示します。

hostname(config)# show running-config sunrpc-server
sunrpc-server inside 192.168.100.2 255.255.255.255 service 100003 protocol UDP port 111 timeout 0:30:00
sunrpc-server inside 192.168.100.2 255.255.255.255 service 100005 protocol UDP port 111 timeout 0:30:00
 

この出力では、IP アドレスが 192.168.100.2 で内部インターフェイスにある Sun RPC サーバの UDP ポート 111 で、タイムアウト間隔が 30 分に設定されていることが示されています。

Sun RPC サービスで開かれているピンホールを表示するには、 show sunrpc-server active コマンドを入力します。次に、 show sunrpc-server active コマンドの出力例を示します。

hostname# show sunrpc-server active
LOCAL FOREIGN SERVICE TIMEOUT
-----------------------------------------------
1 209.165.200.5/0 192.168.100.2/2049 100003 0:30:00
2 209.165.200.5/0 192.168.100.2/2049 100003 0:30:00
3 209.165.200.5/0 192.168.100.2/647 100005 0:30:00
4 209.165.200.5/0 192.168.100.2/650 100005 0:30:00
 

LOCAL カラムのエントリは、内部インターフェイスのクライアントまたはサーバの IP アドレスを示します。FOREIGN カラムの値は、外部インターフェイスのクライアントまたはサーバの IP アドレスを示します。

Sun RPC サーバで実行されている Sun RPC サービスに関する情報を表示するには、Linux または UNIX サーバのコマンドラインから rpcinfo -p コマンドを入力します。次に、 rpcinfo -p コマンドの出力例を示します。

sunrpcserver:~ # rpcinfo -p
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 632 status
100024 1 tcp 635 status
100003 2 udp 2049 nfs
100003 3 udp 2049 nfs
100003 2 tcp 2049 nfs
100003 3 tcp 2049 nfs
100021 1 udp 32771 nlockmgr
100021 3 udp 32771 nlockmgr
100021 4 udp 32771 nlockmgr
100021 1 tcp 32852 nlockmgr
100021 3 tcp 32852 nlockmgr
100021 4 tcp 32852 nlockmgr
100005 1 udp 647 mountd
100005 1 tcp 650 mountd
100005 2 udp 647 mountd
100005 2 tcp 650 mountd
100005 3 udp 647 mountd
100005 3 tcp 650 mountd
 

この出力では、ポート 647 が UDP 上で実行されている mountd デーモンに対応しています。mountd プロセスは、通常、ポート 32780 を使用します。この例では、TCP 上で実行されている mountd プロセスがポート 650 を使用しています。

TFTP 検査

TFTP 検査はデフォルトでイネーブルになっています。

TFTP は、RFC 1350 に記述されているように、TFTP サーバとクライアントの間のファイルの読み書きを行うための簡易プロトコルです。

セキュリティ アプライアンスは、TFTP トラフィックを検査し、必要に応じてダイナミックに接続と変換を作成し、TFTP クライアントとサーバの間のファイル転送を許可します。具体的には、検査エンジンは TFTP 読み取り要求(RRQ)、書き込み要求(WRQ)、およびエラー通知(ERROR)を検査します。

有効な読み取り要求(RRQ)または書き込み要求(WRQ)を受信すると、必要に応じて、ダイナミックなセカンダリ チャネルと PAT 変換が割り当てられます。このセカンダリ チャネルは、これ以降 TFTP によってファイル転送またはエラー通知用に使用されます。

TFTP サーバだけがセカンダリ チャネル経由のトラフィックを開始できます。また、TFTP クライアントとサーバの間に存在できる不完全なセカンダリ チャネルは 1 つまでです。サーバからのエラー通知があると、セカンダリ チャネルは閉じます。

TFTP トラフィックのリダイレクトにスタティック PAT が使用されている場合は、TFTP 検査をイネーブルにする必要があります。

XDMCP 検査

XDMCP 検査はデフォルトでイネーブルになっていますが、XDMCP 検査エンジンは、 established コマンドが適切に構成されていないと使用できません。

XDMCP は、UDP ポート 177 を使用して X セッションをネゴシエートするプロトコルです。X セッションは確立時に TCP を使用します。

XWindows セッションを正常にネゴシエートして開始するために、セキュリティ アプライアンスは、Xhosted コンピュータからの TCP 戻り接続を許可する必要があります。戻り接続を許可するには、セキュリティ アプライアンスで established コマンドを使用します。XDMCP がディスプレイを送信するポートをネゴシエートすると、 established コマンドが参照され、この戻り接続を許可すべきかどうかが確認されます。

XWindows セッション中、マネージャは予約済みポート 6000 | n 上でディスプレイ Xserver と通信します。次の端末設定を行うと、各ディスプレイは別々に Xserver と接続します。

setenv DISPLAY Xserver:n
 

n はディスプレイ番号です。

XDMCP が使用されている場合、ディスプレイは IP アドレスを使用してネゴシエートされます。IP アドレスは、セキュリティ アプライアンスが必要に応じて NAT を行うことができます。XDCMP 検査では、PAT はサポートされません。