Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
セキュリティ アプライアンスの概要
セキュリティ アプライアンスの概要
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

セキュリティ アプライアンスの概要

モデルごとの SSM および SSC サポート

VPN 仕様

新機能

ファイアウォール機能の概要

セキュリティ ポリシーの概要

アクセスリストによるトラフィックの許可または拒否

NAT の適用

IP フラグメントからの保護

通過トラフィックに対する AAA の使用

HTTP、HTTPS、または FTP フィルタリングの適用

アプリケーション検査の適用

Advanced Inspection and Prevention Security Services Module(AIP SSM)へのトラフィック送信

Content Security and Control Security Services Module(CSC SSM)へのトラフィック送信

QoS ポリシーの適用

接続の制限と TCP 正規化の適用

脅威検出のイネーブル化

ファイアウォール モードの概要

ステートフル インスペクションの概要

VPN 機能の概要

セキュリティ コンテキストの概要

セキュリティ アプライアンスの概要

適応型セキュリティ アプライアンスは、高度なステートフル ファイアウォールと VPN コンセントレータの機能を 1 つのデバイスに組み合せたもので、一部のモデルでは、AIP SSM/SSC と呼ばれる統合侵入防御モジュールや、CSC SSM と呼ばれる統合コンテンツ セキュリティおよび制御モジュールが組み込まれています。適応型セキュリティ アプライアンスの多数の高度な機能には、マルチセキュリティ コンテキスト(仮想ファイアウォールに類似)、透過(レイヤ 2)ファイアウォール動作またはルーテッド(レイヤ 3)ファイアウォール動作、高度な検査エンジン、IPSec VPN、SSL VPN、およびクライアントレス SSL VPN のサポート、その他の機能があります。

この章には、次の項があります。

「モデルごとの SSM および SSC サポート」

「VPN 仕様」

「新機能」

「ファイアウォール機能の概要」

「VPN 機能の概要」

「セキュリティ コンテキストの概要」

モデルごとの SSM および SSC サポート

表 1-1 に各プラットフォームによってサポートされる Security Services Module(SSM; セキュリティ サービス モジュール)と Security Services Card(SSC; セキュリティ サービス カード)を示します。

 

表 1-1 SSM サポート

プラットフォーム
SSM モデル
SSC モデル

ASA 5505

サポートしない

AIP SSC 5

ASA 5510

AIP SSM 10

AIP SSM 20

CSC SSM 10

CSC SSM 20

4GE SSM

サポートしない

ASA 5520

AIP SSM 10

AIP SSM 20

AIP SSM 40

CSC SSM 10

CSC SSM 20

4GE SSM

サポートしない

ASA 5540

AIP SSM 10

AIP SSM 20

AIP SSM 40

CSC SSM 101

CSC SSM 201

4GE SSM

サポートしない

ASA 5550

サポートしない(4GE SSM が組み込まれ、ユーザは削除できません)

サポートしない

ASA 5580

サポートしない

サポートしない

1.CSC SSM ライセンスでは最大 1,000 ユーザをサポートでき、Cisco ASA 5540 シリーズ アプライアンスではさらに多くのユーザをサポートできます。CSC SSM を ASA 5540 適応型セキュリティ アプライアンスとともに展開する場合、スキャンする必要があるトラフィックにだけ CSC SSM が送信されるようにセキュリティ アプライアンスを設定してください。

VPN 仕様

http://www.cisco.com/en/US/docs/security/asa/compatibility/asa-vpn-compatibility.html の「 Supported VPN Platforms, Cisco ASA 5500 Series 」を参照してください。

新機能

表 1-2 に Version 8.2(1) の新機能を示します。

 

表 1-2 ASA Version 8.2(1) の新機能

機能
説明
リモート アクセス機能

ASDM 認証のワンタイム パスワードのサポート

ASDM は、現在、RSA SecureID(SDI)でサポートされている One Time Password(OTP; ワンタイム パスワード)を使用した管理者による認証をサポートします。この機能は、スタティック パスワードを使用した管理者による認証についてのセキュリティに関する問題に対応します。

ASDM ユーザ用の新しいセッション制御には、セッション時間とアイドル時間を制限する機能が含まれています。ASDM 管理者によって使用されるパスワードがタイムアウトになった場合、ASDM は管理者に再認証を求めるプロンプトを表示します。

http server idle-timeout コマンドおよび http server session-timeout コマンドが導入されました。http server idle-timeout のデフォルトは 20 分であり、最大 1440 分まで増加できます。

ASDM で、[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPD/Telnet/SSH] を参照してください。

Secure Desktop のカスタマイズ

ASDM を使用して、リモート ユーザに対して表示される Secure Desktop の背景(ロックのアイコン)とそのテキストの色、[Desktop]、[Cache Cleaner]、[Keystroke Logger]、および [Close Secure Desktop] の各ウィンドウのダイアログ バナーを含む Secure Desktop のウィンドウをカスタマイズできます。

ASDM で、[Configuration] > [CSD Manager] > [Secure Desktop Manager] を参照してください。

証明書からのユーザ名事前入力

ユーザ名事前入力機能によって、ユーザ名とパスワードによる認証のための証明書から抽出されるユーザ名を使用できます。この機能がイネーブルの場合、ログイン画面でユーザ名が「事前入力」され、ユーザにはパスワードを求めるプロンプトだけが表示されます。この機能を使用するには、トンネルグループ コンフィギュレーション モードで pre-fill username コマンドと username-from-certificate コマンドの両方を設定する必要があります。

ユーザ名事前入力機能は 2 つのユーザ名が必要な場合に二重認証のためのユーザ名として使用するために、証明書からのプライマリ ユーザ名とセカンダリ ユーザ名の抽出をサポートできるため、二重認証機能はユーザ名事前入力機能と互換性があります。ユーザ名事前入力機能を二重認証に対して設定する場合、管理者は次の新しいトンネルグループ一般アトリビュート コンフィギュレーション モードのコマンドを使用します。

secondary-pre-fill-username :クライアントレスまたは AnyConnect クライアント接続に対してユーザ名の抽出をイネーブルにします。

secondary-username-from-certificate :ユーザ名として使用するために証明書からいくつかの標準 DN フィールドを抽出することを許可します。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect or Clienltess SSL VPN Connection Profiles] > [Advanced] を参照してください。設定は、[Authentication]、[Secondary Authentication]、および [Authorization] パネルにあります。

二重認証

二重認証機能は、Payment Card Industry Standards Council Data Security Standard に従って 2 つの要素による認証を ネットワークへのリモート アクセスに実装します。この機能では、ユーザがログイン ページで 2 つの個別のログイン クレデンシャルを入力する必要があります。たとえば、プライマリ認証はワンタイム パスワードであり、セカンダリ認証はドメイン(Active Directory)クレデンシャルである場合があります。どちらかの認証が失敗すると、接続が拒否されます。

AnyConnect VPN クライアントとクライアントレス SSL VPN の両方が二重認証をサポートします。AnyConnect クライアントは、Windows コンピュータ(サポートされている Windows Mobile デバイスと Start Before Logon を含む)、Mac コンピュータ、および Linux コンピュータでの二重認証をサポートします。IPsec VPN クライアント、SVC クライアント、カットスルー プロキシ認証、ハードウェア クライアント認証、および管理認証は、二重認証をサポートしません。

二重認証には、次の新しいトンネルグループ一般アトリビュート コンフィギュレーション モードのコマンドが必要です。

secondary-authentication-server-group :SDI サーバ グループにすることができないセカンダリ AAA サーバ グループを指定します。

secondary-username-from-certificate :ユーザ名として使用するために証明書からいくつかの標準 DN フィールドを抽出することを許可します。

secondary-pre-fill-username :クライアントレスまたは AnyConnect クライアント接続に対してユーザ名の抽出をイネーブルにします。

authentication-attr-from-server :どの認証サーバ許可アトリビュートが接続に適用されるかを指定します。

authenticated-session-username :どの認証ユーザ名がセッションに関連付けられるかを指定します。

(注) RSA/SDI 認証サーバ タイプは、セカンダリ ユーザ名およびパスワード クレデンシャルとして使用できません。これはプライマリ認証にだけ使用できます。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access or Clientless SSL VPN] > [AnyConnect Connection Profiles] > [Add/Edit] > [Advanced] > [Secondary Authentication] を参照してください。

AnyConnect Essentials

AnyConnect Essentials は、個別にライセンスが与えられている SSL VPN クライアントであり、次の例外を除き、完全な AnyConnect 機能を提供する適応型セキュリティ アプライアンスですべて設定されます。

CSD はない(HostScan/Vault/Cache Cleaner を含む)

クライアントレス SSL VPN はない

オプションの Windows Mobile サポート

AnyConnect Essentials クライアントは、Microsoft Windows Vista、Windows Mobile、Windows XP または Windows 2000、Linux、または Macintosh OS X を実行しているリモート エンド ユーザに Cisco SSL VPN クライアントの利点を提供します。

AnyConnect Essentials を設定するには、管理者は次のコマンドを使用します。

anyconnect-essentials :AnyConnect Essentials 機能をイネーブルにします。この機能が(このコマンドの no 形式を使用して)ディセーブルになった場合、SSL プレミアム ライセンスが使用されます。この機能は、デフォルトでイネーブルになっています。

(注) このライセンスは、共有されている SSL VPN プレミアム ライセンスと同時に使用できません。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials License] を参照してください。AnyConnect Essentials ライセンスは、ASDM でこのペインを表示するためにインストールする必要があります。

接続プロファイルごとの Cisco Secure Desktop のディセーブル化

イネーブルにされると、Cisco Secure Desktop は、適応型セキュリティ アプライアンスへの SSL VPN 接続を行うすべてのコンピュータで自動的に実行されます。この新しい機能によって、接続プロファイル単位で特定のユーザを Cisco Secure Desktop の実行から免除できます。これによって、これらのセッションのエンドポイント アトリビュートが検出されなくなるため、Dynamic Access Policy(DAP; ダイナミック アクセス ポリシー)コンフィギュレーションを調整する必要がある場合があります。

CLI:[no] without-csd コマンド

コマンドが必要です。SSL VPN セッションが接続エイリアスを使用する場合、この機能は機能しません。

ASDM で、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > [Add or Edit] > [Advanced] > [Clientless SSL VPN Configuration] を参照してください。

または

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] > [Add or Edit] > [Advanced] > [SSL VPN] を参照してください。

接続プロファイルごとの証明書認証

以前のバージョンは各適応型セキュリティ アプライアンス インターフェイスの証明書認証をサポートしていたため、ユーザは証明書を必要としない場合でも証明書プロンプトを受信しました。この新しい機能では、接続プロファイルのコンフィギュレーションで証明書を必要とする場合にだけ、ユーザが証明書プロンプトを受信します。この機能は自動的であり、 ssl certificate authentication コマンドは不要になりますが、適応型セキュリティ アプライアンスでは下位互換性のためにこのコマンドを保持しています。

ASDM で、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] > [Add/Edit] > [Basic] を参照してください。

または

[Configuraiton] > [Remote Access VPN] > [Clientless SSL VPN] > [Connection Profiles] > [Add/Edit] > [Basic] を参照してください。

証明書マッピングのための EKU 拡張機能

この機能は、クライアント証明書の Extended Key Usage(EKU; 拡張されたキー使用)の拡張機能を確認し、クライアントがどの接続プロファイルを使用する必要があるかをこれらの値を使用して決定する証明書マップを作成する機能を追加します。クライアントがそのプロファイルと一致しない場合、デフォルト グループが使用されます。その後の接続の結果は、証明書が有効であるかどうか、および接続プロファイルの認証設定によって決まります。

extended-key-usage コマンドが導入されました。

ASDM で、[IPSec Certificate to Connection Maps] > [Rules] ペインまたは [Certificate to SSL VPN Connections Profile Maps] ペインを使用します。

Win 2007 サーバ用 SSL VPN SharePoint のサポート

クライアントレス SSL VPN セッションは、現在、Microsoft Office SharePoint Server 2007 をサポートします。

SSL VPN セッション用の共有ライセンス

多数の SSL VPN セッションとともに共有ライセンスを購入し、適応型セキュリティ アプライアンスのいずれかを共有ライセンス サーバとして設定し、残りをクライアントとして設定することによって、適応型セキュリティ アプライアンスのグループ間で必要に応じてセッションを共有できます。 license-server コマンド(複数種)および show shared license コマンドが導入されました。

(注) このライセンスは、AnyConnect Essentials ライセンスと同時には使用できません。

ASDM で、[Configuration] > [Device Management] > [Licensing] > [Shared SSL VPN Licenses] を参照してください。また、[Monitoring] > [VPN] > [Clientless SSL VPN] > [Shared Licenses] も参照してください。

ファイアウォール機能

TCP ステート バイパス

アップストリーム ルータに設定された非対称ルーティングがあり、トラフィックが 2 つの適応型セキュリティ アプライアンスの間で切り替わる場合は、特定のトラフィックに対して TCP ステート バイパスを設定できます。 set connection advanced tcp-state-bypass コマンドが導入されました。

ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Rule Actions] > [Connection Settings] を参照してください。

Phone Proxy によって使用されるメディア ターミネーション インスタンスのインターフェイスごとの IP アドレス

Version 8.0(4) では、適応型セキュリティ アプライアンスでグローバルな Media-Termination Address(MTA; メディア ターミネーション アドレス)を設定しました。Version 8.2 では、(最小で 2 つの MTA を使用して)個別のインターフェイスに MTA を設定できます。この機能拡張の結果として、古い CLI は非推奨となりました。必要に応じて、古いコンフィギュレーションを使用し続けることができます。ただし、コンフィギュレーションを変更する必要がある場合は、新しいコンフィギュレーション方法だけが受け入れられます。その後は古いコンフィギュレーションを復元できません。

ASDM で、[Configuration] > [Firewall] > [Advanced] > [Encrypted Traffic Inspection] > [Media Termination Address] を参照してください。

Phone Proxy 用の CTL ファイルの表示

Cisco Phone Proxy 機能には、電話プロキシによって使用される CTL ファイルの内容を表示する show ctl-file コマンドが含まれています。 show ctl-file コマンドを使用すると、電話プロキシ インスタンスを設定する場合のデバッグに便利です。

このコマンドは ASDM ではサポートされていません。

Phone Proxy データベースからの secure-phone エントリのクリア

Cisco Phone Proxy 機能には、電話プロキシ データベースの secure-phone エントリをクリアする clear phone-proxy secure-phones コマンドが含まれています。セキュアな IP 電話は常に起動時に CTL ファイルを要求するため、電話プロキシは IP 電話がセキュアであることを示すデータベースを作成します。セキュアな電話データベースのエントリは、( timeout secure-phones コマンドによって)指定された設定済みのタイムアウトの後に削除されます。また、 clear phone-proxy secure-phones コマンドを使用して、設定されたタイムアウトを待つことなく電話プロキシ データベースをクリアすることができます。

このコマンドは ASDM ではサポートされていません。

H.323 アプリケーション検査での H.239 メッセージのサポート

このリリースでは、適応型セキュリティ アプライアンスは H.239 規格を H.323 アプリケーション検査の一部としてサポートします。H.239 は単一のコールで H.300 シリーズのエンドポイントに追加ビデオ チャネルを開く機能を提供する規格です。コールで、エンドポイント(ビデオ電話など)はビデオ用チャネルとデータ プレゼンテーション用チャネルを送信します。H.239 ネゴシエーションは H.245 チャネルで発生します。適応型セキュリティ アプライアンスが追加メディア チャネル用のピンホールを開きます。エンドポイントは、Open Logical Channel Message(OLC; オープン論理チャネル メッセージ)を使用して新しいチャネルの作成を通知します。メッセージ拡張は H.245 バージョン 13 の一部です。テレプレゼンテーション セッションの復号化と符号化はデフォルトでイネーブルにされます。H.239 の符号化と復号化は ASN.1 コーダによって実行されます。

ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard] > [Rule Actions] > [Protocol Inspection] > [H.323 H.225] を参照してください。[Configure] をクリックしてから [H.323 Inspect Map] を選択します。

エンドポイントが OLCAck を送信しない場合の H.323 エンドポイントの処理

H.323 アプリケーション検査は、共通の H.323 エンドポイントを処理するように拡張されました。この機能拡張によって、H.239 プロトコル識別子を持つ extendedVideoCapability OLC を使用するエンドポイントは影響を受けます。H.323 エンドポイントがピアから OLC メッセージを受信した後に OLCAck を送信しない場合でも、適応型セキュリティ アプライアンスは OLC メディア提案情報をメディア アレイに伝搬して、メディア チャネル(extendedVideoCapability)のピンホールを開きます。

ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule Wizard] > [Rule Actions] > [Protocol Inspection] > [H.323 H.225] を参照してください。

透過ファイアウォール モードでの IPv6

透過ファイアウォール モードは現在 IPv6 ルーティングに参加します。このリリース以前には、適応型セキュリティ アプライアンスは IPv6 トラフィックをトランスペアレント モードで渡すことができませんでした。現在は、トランスペアレント モードで IPv6 管理アドレスを設定し、IPv6 アクセスリストを作成し、その他の IPv6 機能を設定できます。適応型セキュリティ アプライアンスは IPv6 パケットを認識し、渡します。

すべての IPv6 の機能は、特に注記される場合を除き、サポートされます。

ASDM で、[Configuration] > [Device Management] > [Management Access] > [Management IP Address] を参照してください。

ボットネット トラフィック フィルタ

マルウェアは、ホストが認識していないときにインストールされる悪意のあるソフトウェアです。プライベート データ(パスワード、クレジット カード番号、キー ストローク、または独自データ)の送信などのネットワーク アクティビティを試みるマルウェアは、マルウェアが既知の不正な IP アドレスへの接続を開始したときにボットネット トラフィック フィルタによって検出できます。ボットネット トラフィック フィルタは、着信と発信の接続を既知の不正なドメイン名と IP アドレス のダイナミック データベースと照合して確認し、不審なアクティビティのログを記録します。ローカルの「ブラックリスト」または「ホワイトリスト」の IP アドレスまたはドメイン名を入力することによって、ダイナミック データベースにスタティック データベースを補足することもできます。

dynamic-filter コマンド(複数種)および inspect dns dynamic-filter-snoop キーワードというコマンドが導入されました。

ASDM で、[Configuration] > [Firewall] > [Botnet Traffic Filter] を参照してください。

ASA 5505 用 AIP SSC カード

AIP SSC は IPS に ASA 5505 適応型セキュリティ アプライアンスを提供します。AIP SSM は仮想センサーをサポートしないことに注意してください。 allow-ssc-mgmt hw-module module ip 、および hw-module module allow-ip コマンドが導入されました。

ASDM で、[Configuration] > [Device Setup] > [SSC Setup and Configuration] > [IPS] を参照してください。

IPS の IPv6 サポート

トラフィック クラスが match any コマンドを使用する場合、およびポリシーマップが ips コマンドを指定する場合に、IPv6 トラフィックを AIP SSM または SSC に送信できます。

ASDM で、[Configuration] > [Firewall] > [Service Policy Rules] を参照してください。

管理機能

SNMP バージョン 3 と暗号化

このリリースは、DES、3DES、または AES 暗号化を提供し、サポートされているセキュリティ モデルの中で最もセキュアな形態である SNMP バージョン 3 をサポートします。このバージョンでは、User-based Security Model(USM; ユーザベース セキュリティ モデル)を使用して認証の特性を設定できます。

次のコマンドが導入されました。

show snmp engineid

show snmp group

show snmp-server group

show snmp-server user

snmp-server group

snmp-server user

次のコマンドが変更されました。

snmp-server host

ASDM で、[Configuration] > [Device Management] > [Management Access] > [SNMP] を参照してください。

ルーティング機能

マルチキャスト NAT

適応型セキュリティ アプライアンスは、現在、グループ アドレスに対するマルチキャスト NAT のサポートを提供します。

トラブルシューティング機能

コア ダンプ機能

コア ダンプは、プログラムが異常終了した場合の実行中のプログラムのスナップショットです。コア ダンプは、エラーを診断またはデバッグするため、および障害を後からまたはオフサイトで分析するために保存するために使用されます。Cisco TAC では、ユーザがコア ダンプ機能をイネーブルにして、適応型セキュリティ アプライアンスでのアプリケーションまたはシステムのクラッシュをトラブルシューティングする必要がある場合があります。

コア ダンプをイネーブルにするには、 coredump enable コマンドを参照してください。

ファイアウォール機能の概要

ファイアウォールは、外部ネットワーク上のユーザによる不正アクセスから内部ネットワークを保護します。また、ファイアウォールは、人事部門ネットワークをユーザ ネットワークから分離するなど、内部ネットワーク同士の保護も行います。Web サーバまたは FTP サーバなど、外部のユーザが使用できるようにする必要のあるネットワーク リソースがあれば、ファイアウォールで保護された別のネットワーク( Demiliterized Zone (DMZ; 非武装地帯)と呼ばれる)上に配置します。ファイアウォールによって DMZ に許可されるアクセスは限定されますが、DMZ にあるのは公開サーバだけのため、この地帯が攻撃されても影響を受けるのは公開サーバに限定され、他の内部ネットワークに影響が及ぶことはありません。また、特定アドレスだけに許可する、認証または認可を義務づける、または外部の URL フィルタリング サーバと協調するといった手段によって、内部ユーザが外部ネットワーク(インターネットなど)にアクセスする機会を制御することもできます。

ファイアウォールに接続されているネットワークに言及する場合、 外部 ネットワークはファイアウォールの手前にあるネットワーク、 内部 ネットワークはファイアウォールの背後にある保護されているネットワーク、そして DMZ はファイアウォールの背後にあるが、外部ユーザに制限付きのアクセスが許されているネットワークです。適応型セキュリティ アプライアンスを使用すると、数多くのインターフェイスに対してさまざまなセキュリティ ポリシーが設定できます。このインターフェイスには、多数の内部インターフェイス、多数の DMZ、および必要に応じて多数の外部インターフェイスが含まれるため、ここでは、このインターフェイスの区分は一般的な意味で使用するだけです。

この項は、次の内容で構成されています。

「セキュリティ ポリシーの概要」

「ファイアウォール モードの概要」

「ステートフル インスペクションの概要」

セキュリティ ポリシーの概要

他のネットワークにアクセスするために、ファイアウォールを通過することが許可されるトラフィックがセキュリティ ポリシーによって決められます。デフォルトでは、内部ネットワーク(高セキュリティ レベル)から外部ネットワーク(低セキュリティ レベル)へのトラフィックは、自由に流れることが適応型セキュリティ アプライアンスによって許可されます。トラフィックにアクションを適用してセキュリティ ポリシーをカスタマイズすることができます。この項は、次の内容で構成されています。

「アクセスリストによるトラフィックの許可または拒否」

「NAT の適用」

「IP フラグメントからの保護」

「通過トラフィックに対する AAA の使用」

「HTTP、HTTPS、または FTP フィルタリングの適用」

「アプリケーション検査の適用」

「Advanced Inspection and Prevention Security Services Module(AIP SSM)へのトラフィック送信」

「Content Security and Control Security Services Module(CSC SSM)へのトラフィック送信」

「QoS ポリシーの適用」

「接続の制限と TCP 正規化の適用」

アクセスリストによるトラフィックの許可または拒否

アクセスリストは、内部から外部へのトラフィックを制限するため、および外部から内部へのトラフィックを許可するために使用することができます。透過ファイアウォール モードでは、非 IP トラフィックを許可するための EtherType アクセスリストも適用できます。

NAT の適用

NAT の利点のいくつかを次に示します。

内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インターネットにルーティングできません。

NAT はローカル アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレスを取得できません。

NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。

IP フラグメントからの保護

適応型セキュリティ アプライアンスは IP フラグメント保護を提供します。この機能は、すべての ICMP エラー メッセージの完全リアセンブリ、および適応型セキュリティ アプライアンスを介してルーティングされる残りの IP フラグメントの仮想リアセンブリを実行します。セキュリティ チェックに失敗したフラグメントは、ドロップされログに記録されます。仮想リアセンブリはディセーブルにできません。

通過トラフィックに対する AAA の使用

HTTP など特定のタイプのトラフィックに対して、認証と認可のいずれかまたは両方を要求することができます。適応型セキュリティ アプライアンスは、RADIUS サーバまたは TACACS+ サーバにアカウンティング情報を送信することもあります。

HTTP、HTTPS、または FTP フィルタリングの適用

アクセスリストを使用して、特定の Web サイトまたは FTP サーバへの発信アクセスを禁止できますが、このような方法で Web サイトの使用方法を設定し管理することは、インターネットの規模とダイナミックな特性から、実用的とはいえません。適応型セキュリティ アプライアンスを、次のインターネット フィルタリング製品のいずれかを実行している別のサーバと連携させて使用することをお勧めします。

Websense Enterprise

Secure Computing SmartFilter

アプリケーション検査の適用

検査エンジンは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロトコルは、適応型セキュリティ アプライアンスが詳細なパケット検査を行うことを要求します。

Advanced Inspection and Prevention Security Services Module(AIP SSM)へのトラフィック送信

使用しているモデルが侵入防御用の AIP SSM をサポートしている場合、トラフィックを AIP SSM に送信して検査することができます。AIP SSMは、多数の埋め込み署名ライブラリに基づいて異常や悪用を探索することでネットワーク トラフィックの監視およびリアルタイム分析を行う侵入防御サービス モジュールです。システムで不正なアクティビティが検出されると、侵入防御サービス機能は、該当する接続を終了して攻撃元のホストを永続的にブロックし、この事象をログに記録し、さらにアラートを Device Manager に送信します。その他の正規の接続は、中断することなく独立した動作を継続します。詳細については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 』を参照してください。

Content Security and Control Security Services Module(CSC SSM)へのトラフィック送信

使用しているモデルでサポートされていれば、CSC SSM により、ウイルス、スパイウェア、スパム、およびその他の不要トラフィックから保護されます。これは、FTP、HTTP、POP3、および SMTP トラフィックをスキャンすることで実現されます。そのためには、これらのトラフィックを CSC SSM に送信するように適応型適応型セキュリティ アプライアンスを設定しておきます。

QoS ポリシーの適用

音声やストリーミング ビデオなどのネットワーク トラフィックでは、長時間の遅延は許容されません。QoS は、この種のトラフィックにプライオリティを設定するネットワーク機能です。QoS とは、選択したネットワーク トラフィックによりよいサービスを提供するネットワークの機能です。

接続の制限と TCP 正規化の適用

TCP 接続、UDP 接続、および初期接続を制限することができます。接続と初期接続の数を制限することで、DoS 攻撃(サービス拒絶攻撃)から保護されます。適応型セキュリティ アプライアンスでは、初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。

TCP 正規化は、正常に見えないパケットをドロップするように設計された高度な TCP 接続設定で構成される機能です。

脅威検出のイネーブル化

スキャン脅威検出と基本脅威検出、さらに統計情報を使用して脅威を分析する方法を設定できます。

基本脅威検出は、DoS 攻撃などの攻撃に関係している可能性のあるアクティビティを検出し、自動的にシステム ログ メッセージを送信します。

典型的なスキャン攻撃では、あるホストがサブネット内の IP アドレスにアクセスできるかどうかを 1 つずつ試します(サブネット内の複数のホストすべてを順にスキャンするか、1 つのホストまたはサブネットの複数のポートすべてを順にスイープする)。スキャン脅威検出機能は、いつホストがスキャンを実行するかを判別します。トラフィック署名に基づく IPS スキャン検出とは異なり、適応型セキュリティ アプライアンスのスキャン脅威検出機能では広範なデータベースが維持され、そこに格納されているホストの統計情報を使用してスキャン アクティビティがあるかどうかを分析できます。

ホスト データベースは、アクティビティを返さない接続、閉じられているサービス ポートへのアクセス、非ランダム IPID などの脆弱な TCP の動作、およびその他の疑わしいアクティビティを追跡します。

攻撃者に関するシステム ログ メッセージを送信するように適応型セキュリティ アプライアンスを設定できます。または自動的にホストを排除できます。

ファイアウォール モードの概要

適応型セキュリティ アプライアンスは、次の 2 つのファイアウォール モードで動作します。

ルーテッド

透過

ルーテッド モードでは、適応型セキュリティ アプライアンスは、ネットワークのルータ ホップと見なされます。

トランスペアレント モードでは、適応型セキュリティ アプライアンスは「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作し、ルータ ホップとは見なされません。適応型セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。

透過ファイアウォールは、ネットワーク コンフィギュレーションを簡単にするために使用できます。トランスペアレント モードは、攻撃者からファイアウォールが見えないようにする場合にも有効です。透過ファイアウォールは、他の場合にはルーテッド モードでブロックされるトラフィックにも使用できます。たとえば、透過ファイアウォールでは、EtherType アクセスリストを使用するマルチキャスト ストリームが許可されます。

ステートフル インスペクションの概要

適応型セキュリティ アプライアンスを通過するトラフィックはすべて、アダプティブ セキュリティ アルゴリズムを使用して検査され、通過が許可されるか、またはドロップされます。単純なパケット フィルタは、送信元アドレス、宛先アドレス、およびポートが正しいかどうかはチェックできますが、パケット シーケンスまたはフラグが正しいかどうかはチェックしません。また、フィルタはすべてのパケットをフィルタと照合してチェックするため、処理が低速になる場合があります。

ただし、適応型セキュリティ アプライアンスのようなステートフル ファイアウォールは、パケットの次のようなステートについて検討します。

新規の接続かどうか。

新規の接続の場合、適応型セキュリティ アプライアンスは、パケットをアクセスリストと照合してチェックする必要があり、これ以外の各種のタスクを実行してパケットの許可または拒否を決定する必要があります。このチェックを行うために、セッションの最初のパケットは「セッション管理パス」を通過しますが、トラフィックのタイプに応じて、「コントロール プレーン パス」も通過する場合があります。

セッション管理パスで行われるタスクは次のとおりです。

アクセスリストとの照合チェック

ルート ルックアップ

NAT 変換(xlates)の割り当て

「ファースト パス」でのセッション確立

レイヤ 7 検査が必要なパケット(パケットのペイロードの検査または変更が必要)は、コントロール プレーン パスに渡されます。レイヤ 7 検査エンジンは、2 つ以上のチャネルを持つプロトコルで必要です。2 つ以上のチャネルの 1 つは周知のポート番号を使用するデータ チャネルで、その他はセッションごとに異なるポート番号を使用するコントロール チャネルです。このようなプロトコルには、FTP、H.323、および SNMP があります。

確立済みの接続かどうか。

接続がすでに確立されている場合は、適応型セキュリティ アプライアンスでパケットの再チェックを行う必要はありません。一致するパケットの大部分は、両方向で「ファースト」パスを通過できます。ファースト パスで行われるタスクは次のとおりです。

IP チェックサム検証

セッション ルックアップ

TCP シーケンス番号のチェック

既存セッションに基づく NAT 変換

レイヤ 3 ヘッダー調整およびレイヤ 4 ヘッダー調整

UDP プロトコルまたは他のコネクションレス型プロトコルに対して、適応型セキュリティ アプライアンスはコネクション ステート情報を作成して、ファースト パスも使用できるようにします。

レイヤ 7 検査を必要とするプロトコルに合致するデータ パケットもファースト パスを通過できます。

確立済みセッション パケットの中には、セッション管理パスまたはコントロール プレーン パスを引き続き通過しなければならないものがあります。セッション管理パスを通過するパケットには、検査またはコンテンツ フィルタリングを必要とする HTTP パケットが含まれます。コントロール プレーン パスを通過するパケットには、レイヤ 7 検査を必要とするプロトコルのコントロール パケットが含まれます。

VPN 機能の概要

VPN は、TCP/IP ネットワーク(インターネットなど)上のセキュアな接続で、プライベートな接続として表示されます。このセキュアな接続はトンネルと呼ばれます。適応型セキュリティ アプライアンスは、トンネリング プロトコルを使用して、セキュリティ パラメータのネゴシエート、トンネルの作成および管理、パケットのカプセル化、トンネルを通したパケットの送信または受信、パケットのカプセル化の解除を行います。適応型セキュリティ アプライアンスは、双方向のトンネル エンドポイントとして機能します。たとえば、プレーン パケットを受信してカプセル化し、それをトンネルのもう一方の側に送信することができます。そのエンドポイントで、パケットはカプセル化が解除され、最終的な宛先に送信されます。また、セキュリティ アプライアンスは、カプセル化されたパケットを受信してカプセル化を解除し、それを最終的な宛先に送信することもできます。適応型セキュリティ アプライアンスは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

適応型セキュリティ アプライアンスが実行する機能は次のとおりです。

トンネルの確立

トンネル パラメータのネゴシエーション

ユーザの認証

ユーザ アドレスの割り当て

データの暗号化と復号化

セキュリティ キーの管理

トンネルを通したデータ転送の管理

トンネル エンドポイントまたはルータとしての着信データと発信データの転送の管理

適応型セキュリティ アプライアンスは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

セキュリティ コンテキストの概要

1 台の適応型セキュリティ アプライアンスを、セキュリティ コンテキストと呼ばれる複数の仮想装置に分割することができます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立した装置です。マルチコンテキストは、複数のスタンドアロン装置を使用することに似ています。マルチコンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつかの機能はサポートされません。

マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスには、セキュリティ ポリシー、インターフェイス、およびスタンドアロン装置で設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。システム管理者は、システム コンフィギュレーションに設定することでコンテキストを追加および管理します。このコンフィギュレーションは、シングルモードのコンフィギュレーション同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、適応型セキュリティ アプライアンスの基本設定を識別します。システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウンロードするときなど)は、管理コンテキストとして指定されたコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただし、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。


) 管理者は、自分のコンテキストすべてをルーテッド モードまたはトランスペアレント モードで実行することができますが、一部のコンテキストを一方のモードで実行し、他のコンテキストをもう一方のモードで実行することはできません。

マルチコンテキスト モードでは、スタティック ルーティングだけをサポートします。