Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
Cisco Unified Mobility の設定
Cisco Unified Mobility の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

Cisco Unified Mobility の設定

Cisco Unified Mobility に関する情報

Cisco Unified Mobility 機能

モビリティ プロキシの導入シナリオ

NAT/PAT を使用したモビリティ プロキシ

Cisco UMA の導入の信頼関係

Cisco Unified Mobility 機能のライセンス

Cisco Unified Mobility の設定

Cisco Unified Mobility の設定のタスク フロー

Cisco UMA サーバの証明書のインストール

TLS プロキシ インスタンスの作成

MMP 検査での TLS プロキシのイネーブル化

Cisco Unified Mobility の監視

Cisco Unified Mobility の設定例

例 1:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシと MMP 検査を使用したファイアウォールとして機能するセキュリティ アプライアンス

例 2:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシとしてだけ機能するセキュリティ アプライアンス

Cisco Unified Mobility の機能履歴

Cisco Unified Mobility の設定

この章では、Cisco Unified Communications プロキシ機能向けに適応型セキュリティ アプライアンスを設定する方法について説明します。

この章には、次の項があります。

「Cisco Unified Mobility に関する情報」

「Cisco Unified Mobility 機能のライセンス」

「Cisco Unified Mobility の設定」

「Cisco Unified Mobility の監視」

「Cisco Unified Mobility の設定例」

「Cisco Unified Mobility の機能履歴」

Cisco Unified Mobility に関する情報

ここでは、次の項目について説明します。

「Cisco Unified Mobility 機能」

「モビリティ プロキシの導入シナリオ」

「Cisco UMA の導入の信頼関係」

Cisco Unified Mobility 機能

Cisco Unified Mobility ソリューション向けの Cisco UMA をサポートするために、モビリティ プロキシ(TLS プロキシとして実装)には次の機能が含まれます。

クライアントとのハンドシェイク中にクライアントの認証を許可しない機能

サーバにインポートされた PKCS-12 証明書をプロキシの証明書として許可する機能

適応型セキュリティ アプライアンスには、Cisco UMA Mobile Multiplexing Protocol(MMP; モバイル多重化プロトコル)を検証するための検査エンジンが含まれます。

MMP は、Cisco UMA クライアントとサーバとの間でデータ エントリを送信するための転送プロトコルです。図 48-1 に示すように、MMP はコネクション型プロトコル(基礎となる転送)の上で実行する必要があり、TLS などのセキュアな転送プロトコルの上で実行することを意図しています。Orative Markup Language(OML)プロトコルは、データの同期を目的とした MMP に加えて、大規模なファイルのアップロードとダウンロードのための HTTP プロトコルの上で実行することを意図しています。

図 48-1 MMP スタック

 

TCP/TLS のデフォルト ポートは 5443 です。埋め込まれた NAT やセカンダリ接続はありません。

Cisco UMA クライアントおよびサーバ通信は TLS を通じてプロキシ処理ができます。ここで、データを復号化して検査 MMP モジュールに渡し、エンドポイントに転送する前にデータを再暗号化します。検査 MMP モジュールは MMP ヘッダーの整合性を確認し、OML/HTTP を適切なハンドラに渡します。適応型セキュリティ アプライアンスは、MMP ヘッダーおよびデータで次のアクションを実行します。

クライアント MMP ヘッダーの形式が適切であることを確認します。間違った形式のヘッダーを検出すると、TCP セッションは終了します。

クライアントからサーバへの MMP ヘッダーの長さを超えていないことを確認します。MMP ヘッダーの長さを超えている場合は(4096)、TCP セッションは終了します。

クライアントからサーバへの MMP コンテンツの長さを超えていないことを確認します。エンティティのコンテンツの長さを超えている場合は(4096)、TCP セッションは終了します。


) 4096 は、MMP の実装で現在使用されている値です。


MMP ヘッダーとエンティティはパケット間で分割できるため、適応型セキュリティ アプライアンスはデータをバッファリングして、検査の一貫性を確保します。Stream API(SAPI; ストリーム API)は、保留中の検査を実行できるようにデータのバッファリングを処理します。MMP ヘッダー テキストは大文字と小文字を区別しないものとして処理されます。ヘッダー テキストと値の間にスペースが入ります。MMP の状態の再要求は、TCP 接続の状態を監視することによって実行されます。

モビリティ プロキシの導入シナリオ

図 48-2図 48-3 に、Cisco Unified Mobility ソリューションによって使用される TLS プロキシの 2 つの導入シナリオを示します。シナリオ 1(推奨される導入アーキテクチャ)では、適応型セキュリティ アプライアンスはファイアウォールと TLS プロキシの両方として機能します。シナリオ 2 では、適応型セキュリティ アプライアンスは TLS プロキシとしてだけ機能し、既存のファイアウォールを使用します。いずれのシナリオでも、クライアントはインターネットから接続されます。

シナリオ 1 の導入では、適応型セキュリティ アプライアンスは Cisco UMA クライアントと Cisco UMA サーバの間にあります。Cisco UMA クライアントは、個々のスマートフォンにダウンロードされる実行可能ファイルです。Cisco UMA クライアント アプリケーションは、企業の Cisco UMA サーバに対するデータ接続(TLS 接続)を確立します。適応型セキュリティ アプライアンスは通信を代行受信し、クライアントが Cisco UMA サーバに送信するデータを検査します。


) Cisco Unified Mobility ソリューションの TLS プロキシは、Cisco UMA クライアントが証明書を提供できないため、クライアント認証をサポートしません。次のコマンドを使用して、TLS ハンドシェイク中の認証をディセーブルにできます。
hostname(config)# tls-proxy my_proxy
hostname(config-tlsp)# no server authenticate-client


図 48-2 モビリティ プロキシと MMP 検査を使用したファイアウォールとして機能するセキュリティ アプライアンス

 

図 48-2 では、適応型セキュリティ アプライアンスは Cisco UMA サーバの 10.1.1.2 IP アドレスを 192.0.2.140 に変換することで、スタティック NAT を実行しています。

図 48-3 に導入シナリオ 2 を示します。ここでは、適応型セキュリティ アプライアンスがTLS プロキシとしてだけ機能し、企業ファイアウォールとしては機能しません。このシナリオでは、適応型セキュリティ アプライアンスと企業ファイアウォールは NAT を実行しています。企業ファイアウォールは、インターネットのどのクライアントを企業の Cisco UMA サーバに接続する必要があるのかを予測できません。したがって、この導入をサポートするために、次のアクションを実行することができます。

宛先 IP アドレス 192.0.2.41 を 172.16.27.41 に変換する着信トラフィックの NAT 規則を設定します。

すべてのパケットの送信元 IP アドレスを変換する着信トラフィックのインターフェイス PAT 規則を設定し、企業ファイウォールがワイルドカード ピンホールを開く必要がないようにします。Cisco UMA サーバは送信元 IP アドレスが 192.0.12.183 のパケットを受信します。

hostname(config)# nat (outside) 1 0.0.0.0 0.0.0.0 outside
hostname(config)# global (inside) 1 192.0.2.183 netmask 255.255.255.255

) このインターフェイス PAT 規則では、別の送信元ポートを使用して、適応型セキュリティ アプライアンスの外部インターフェイスの Cisco UMA クライアントの IP アドレスを、内部インターフェイスの 1 つの IP アドレスに収束します。このアクションは、多くの場合「外部 PAT」と呼ばれます。「外部 PAT」は、Cisco Unified Mobility の TLS プロキシが、フォン プロキシ、Cisco Unified Presence、またはアプリケーション検査が必要なその他の機能を持つ適応型セキュリティ アプライアンスの同じインターフェイス上でイネーブルになっている場合にはお勧めしません。「外部 PAT」は、埋め込みアドレスの変換が必要な場合には、アプリケーション検査によって完全にサポートされるわけではありません。


図 48-3 Cisco UMC/Cisco UMA のアーキテクチャ - シナリオ 2:モビリティ プロキシとしてだけ機能するセキュリティ アプライアンス

 

NAT/PAT を使用したモビリティ プロキシ

いずれのシナリオ(図 48-2 および図 48-3)でも、NAT を使用して Cisco UMA サーバのプライベート アドレスを隠蔽できます。

シナリオ 2(図 48-3)では、PAT を使用して、すべてのクライアント トラフィックを 1 つの送信元 IP に収束し、ファイアウォールが着信トラフィックのためにワイルドカード ピンホールを開く必要がないようにします。

hostname(config)# access-list cumc extended permit tcp any host 172.16.27.41 eq 5443
 

もう一方のシナリオの場合

hostname(config)# access-list cumc extended permit tcp host 192.0.2.183 host 172.16.27.41 eq 5443

Cisco UMA の導入の信頼関係

Cisco UMC クライアントと適応型セキュリティ アプライアンスとの間に信頼関係を確立するために、適応型セキュリティ アプライアンスは Cisco UMA サーバの証明書とキー ペアを使用します。または、適応型セキュリティ アプライアンスは Cisco UMA サーバ FQDN を使用して証明書を取得します(証明書偽装)。適応型セキュリティ アプライアンスと Cisco UMA サーバとの間では、適応型セキュリティ アプライアンスと Cisco UMA サーバは、自己署名証明書またはローカル認証局が発行した証明書を使用します。

図 48-4 に、Cisco UMA サーバの証明書を適応型セキュリティ アプライアンスにインポートする方法を示します。Cisco UMA サーバが第三者 CA にすでに登録している場合は、秘密キーを使用して適応型セキュリティ アプライアンスに証明書をインポートできます。これで、適応型セキュリティ アプライアンスは Cisco UMA サーバの完全なクレデンシャルを持つことになります。Cisco UMA クライアントが Cisco UMA サーバに接続すると、適応型セキュリティ アプライアンスはハンドシェイクを代理受信し、Cisco UMA サーバの証明書を使用して、クライアントとのハンドシェイクを実行します。適応型セキュリティ アプライアンスは、サーバとのハンドシェイクも行います。

図 48-4 セキュリティ アプライアンスが Cisco UMA を表す方法 - 秘密キーの共有

 

 

図 48-5 に、信頼関係を確立する別の方法を示します。導入に関わる各コンポーネントが新たにインストールされているため、図 48-5 は新しい場所への導入を示しています。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスが Cisco UMA サーバであるかのように、Cisco UMA サーバ FQDN を使用して第三者 CA に登録します。Cisco UMA クライアントが適応型セキュリティ アプライアンスに接続すると、適応型セキュリティ アプライアンスは、Cisco UMA サーバ FQDN を持つ証明書を示します。Cisco UMA クライアントは、通信相手が Cisco UMA サーバであるものと信じています。

図 48-5 セキュリティ アプライアンスが Cisco UMA を示す方法 - 証明書の偽装

 

適応型セキュリティ アプライアンスと Cisco UMA サーバの間の信頼関係は、自己署名証明書を使用して確立できます。適応型セキュリティ アプライアンスの ID 証明書はエクスポートされ、Cisco UMA サーバのトラストストアにアップロードされます。Cisco UMA サーバの証明書がダウンロードされて、トラストポイントを作成し、 crypto ca authenticate コマンドを使用することにより、適応型セキュリティ アプライアンスのトラストストアにアップロードされます。

Cisco Unified Mobility 機能のライセンス

適応型セキュリティ アプライアンスでサポートされる Cisco Unified Mobility 機能には、Unified Communications Proxy ライセンスが必要です。

Cisco Unified Mobility 機能は、TLS セッションによってライセンスされます。モビリティ プロキシの場合、各エンドポイントは 1 つの Unified Communications Proxy セッションを利用します。

表 48-1 に、Unified Communications Proxy ライセンス詳細をプラットフォーム別に示します。

 

表 48-1 セキュリティ アプライアンスのライセンス要件

セキュリティ アプライアンス プラットフォーム
最大 UC Proxy ライセンス
UC Proxy ライセンスの段階

ASA 5505

24

24

ASA 5510

100

24, 50, 100

ASA 5520

1,000

24, 50, 100, 250, 500, 750, 1000

ASA 5540

2,000

24, 50, 100, 250, 500, 750, 1000, 2000

ASA 5550

3,000

24, 50, 100, 250, 500, 750, 1000, 2000, 3000

Unified Communications Proxy ライセンスは、 activation-key コマンドを使用して、他のライセンス機能(SSL VPN など)と同様に適用します。適応型セキュリティ アプライアンスでライセンスを確認するには、 show version コマンドまたは show activation-key コマンドを次のように使用します。

hostname# show activation-key
Serial Number: P3000000179
Running Activation Key: 0xa700d24c 0x98caab35 0x88038550 0xaf383078 0x02382080
 
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 150
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 10
GTP/GPRS : Enabled
VPN Peers : 750
WebVPN Peers : 750
AnyConnect for Mobile : Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Enabled
UC Proxy Sessions : 1000
This platform has an ASA 5520 VPN Plus license.
 
The flash activation key is the SAME as the running key.
hostname#
 

ライセンスの追加情報については、次のリンクを参照してください。Cisco.com の登録ユーザの場合、Unified Communications Proxy ライセンスを入手するには、次の Web サイトにアクセスしてください。

http://www.cisco.com/go/license

Cisco.com の登録ユーザでない場合は、次の Web サイトにアクセスしてください。

https://tools.cisco.com/SWIFT/Licensing/RegistrationServlet

姓名、電子メール アドレス、および show version コマンド出力で表示される適応型セキュリティ アプライアンスのシリアル番号を入力してください。

Cisco Unified Mobility の設定

この項は、次の内容で構成されています。

「Cisco Unified Mobility の設定のタスク フロー」

「Cisco UMA サーバの証明書のインストール」

「TLS プロキシ インスタンスの作成」

「MMP 検査での TLS プロキシのイネーブル化」

Cisco Unified Mobility の設定のタスク フロー

図 48-2図 48-3 に示すように、TLS プロキシと MMP 検査を実行するように適応型セキュリティ アプライアンスを設定するには、次のタスクを実行します。

適応型セキュリティ アプライアンスと Cisco UMA サーバの間で自己署名証明書を使用するものと仮定します。

前提条件

適応型セキュリティ アプライアンスにインポートできるように、Cisco UMA サーバの証明書とキー ペアを PKCS-12 形式でエクスポートします。証明書は、Cisco UMA クライアントとのハンドシェイク中に使用されます。


ステップ 1 次のコマンドを入力し、Cisco UMA サーバのスタティック NAT を作成します。

hostname(config)# static (real_ifc,mapped_ifc) mapped_ip real_ip netmask mask
 

ステップ 2 次のコマンドを入力し、Cisco UMA サーバの証明書を適応型セキュリティ アプライアンスにインポートします。

hostname(config)# crypto ca import trustpoint pkcs12 passphrase
[paste base 64 encoded pkcs12]
hostname(config)# quit
 

ステップ 3 Cisco UMA サーバの証明書を適応型セキュリティ アプライアンスにインストールします。「Cisco UMA サーバの証明書のインストール」を参照してください。

ステップ 4 Cisco UMA サーバに接続している Cisco UMA クライアントの TLS プロキシ インスタンスを作成します。「TLS プロキシ インスタンスの作成」を参照してください。

ステップ 5 MMP 検査で TLS プロキシをイネーブルにします。「MMP 検査での TLS プロキシのイネーブル化」を参照してください。


 

Cisco UMA サーバの証明書のインストール

Cisco UMA サーバの自己署名証明書を適応型セキュリティ アプライアンスのトラストストアにインストールします。このタスクは、適応型セキュリティ アプライアンス プロキシと Cisco UMA サーバとの間のハンドシェイク中に適応型セキュリティ アプライアンスがCisco UMA サーバを認証するために必要です。

前提条件

適応型セキュリティ アプライアンスにインポートできるように、Cisco UMA サーバの証明書とキー ペアを PKCS-12 形式でエクスポートします。

 

 
コマンド
目的

ステップ 1

hostname(config)# crypto ca trustpoint trustpoint_name
例:
hostname(config)# crypto ca trustpoint cuma_server

Cisco UMA サーバのトラストポイントを作成するには、指定したトラストポイントのトラストポイント コンフィギュレーション モードに入ります。

トラストポイントは、CA が発行する証明書に基づいた CA のアイデンティティとデバイスのアイデンティティを表します。

ステップ 2

hostname(config-ca-trustpoint)# enrollment terminal

 

このトラストポイントで使用するカット アンド ペースト登録(手動登録)を指定します。

ステップ 3

hostname(config-ca-trustpoint)# exit

 

CA トラストポイント コンフィギュレーション モードを終了します。

ステップ 4

hostname(config)# crypto ca authenticate trustpoint
例:
hostname(config)# crypto ca authenticate cuma_server
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
 
[ certificate data omitted ]
 
Certificate has the following attributes:
Fingerprint: 21B598D5 4A81F3E5 0B24D12E 3F89C2E4
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
hostname(config)#

Cisco UMA サーバに作成したトラストポイントと関連付けられている CA 証明書をインストールし、認証します。

trustpoint には、CA 証明書を取得するトラストポイントを指定します。名前の最大長は 128 文字です。

適応型セキュリティ アプライアンスは、base-64 形式で CA 証明書を端末に貼り付けることを求めるプロンプトを表示します。

次の作業

トラストポイントを作成し、Cisco UMA 証明書を適応型セキュリティ アプライアンスにインストールしたら、TLS プロキシ インスタンスを作成します。「TLS プロキシ インスタンスの作成」を参照してください。

TLS プロキシ インスタンスの作成

Cisco UMA サーバに接続している Cisco UMA クライアントの TLS プロキシ インスタンスを作成します。

前提条件

TLS プロキシ インスタンスを作成する前に、Cisco UMA サーバの自己署名証明書を適応型セキュリティ アプライアンスのトラストストアにインストールしている必要があります。

 

 
コマンド
目的

ステップ 1

hostname(config)# tls-proxy proxy_name
例:
tls-proxy cuma_tlsproxy

TLS プロキシ インスタンスを作成します。

ステップ 2

hostname(config-tlsp)# server trust-point proxy_name
例:
hostname(config-tlsp)# server trust-point cuma_proxy

TLS ハンドシェイク中に提示されるプロキシ トラストポイント証明書を指定します。

証明書は、適応型セキュリティ アプライアンスが所有している必要があります(ID 証明書)。

ステップ 3

hostname(config-tlsp)# client trust-point proxy_name
例:
hostname(config-tlsp)# client trust-point cuma_proxy

適応型セキュリティ アプライアンスが TLS クライアントの役割と見なす場合に、適応型セキュリティ アプライアンスが TLS ハンドシェイクで使用するトラストポイントおよび関連付けられた証明書を指定します。

証明書は、適応型セキュリティ アプライアンスが所有している必要があります(ID 証明書)。

ステップ 4

hostname(config-tlsp)# no server authenticate-client

クライアント認証をディセーブルにします。

TLS クライアント認証のディセーブル化は、適応型セキュリティ アプライアンスが Cisco UMA クライアントや、クライアント証明書を送信できない Web ブラウザなどのクライアントと相互運用する場合に必要になります。

ステップ 5

hostname(config-tlsp)# client cipher-suite cipher_suite
例:
hostname(config-tlsp)# client cipher-suite aes128-sha1 aes256-sha1

暗号スイートの設定を指定します。

クライアント プロキシ(サーバに対して TLS クライアントとして機能するプロキシ)の場合、ユーザ定義の暗号スイートによってデフォルトの暗号スイートが置き換えられます。

次の作業

TLS プロキシ インスタンスを作成したら、そのインスタンスを MMP 検査でイネーブルにします。「MMP 検査での TLS プロキシのイネーブル化」を参照してください。

MMP 検査での TLS プロキシのイネーブル化

Cisco UMA クライアントおよびサーバ通信は TLS を通じてプロキシ処理ができます。ここで、データを復号化して検査 MMP モジュールに渡し、エンドポイントに転送する前にデータを再暗号化します。検査 MMP モジュールは MMP ヘッダーの整合性を確認し、OML/HTTP を適切なハンドラに渡します。

 

 
コマンド
目的

ステップ 1

hostname(config)# class-map class_map_name
例:
hostname(config)# class-map cuma_tlsproxy

検査するトラフィックのクラスを設定します。Cisco UMA サーバとクライアントの間のトラフィックは MMP を使用し、MMP 検査で処理されます。

class_map_name には、MMP クラスマップの名前を指定します。

ステップ 2

hostname(config-cmap)# match port tcp eq port
例:
hostname(config-cmap)# match port tcp eq 5443

MMP 検査のアクションを適用する TCP ポートを照合します。

MMP 検査の TCP/TLS のデフォルト ポートは 5443 です。

ステップ 3

hostname(config-cmap)# exit

クラスマップ コンフィギュレーション モードを終了します。

ステップ 4

hostname(config)# policy-map name
例:
hostname(config)# policy-map global_policy

ポリシーマップを設定し、アクションをトラフィック クラスに関連付けます。

ステップ 5

hostname(config-pmap)# class classmap-name
例:
hostname(config-pmap)# class cuma_proxy

クラスマップ トラフィックにアクションを割り当てることができるように、クラスマップをポリシーマップに割り当てます。

classmap_name には、Skinny クラスマップの名前を指定します。

ステップ 6

hostname(config-pmap)# inspect mmp tls-proxy proxy_name
例:
hostname(config-pmap)# inspect mmp tls-proxy cuma_proxy

SCCP(Skinny)アプリケーション検査をイネーブルにし、指定した検査セッションに対して Phone Proxy をイネーブルにします。

ステップ 7

hostname(config-pmap)# exit

ポリシーマップ コンフィギュレーション モードを終了します。

ステップ 8

hostname(config)# service-policy policy_map_name global
例:
service-policy global_policy global

すべてのインターフェイスでサービス ポリシーをイネーブルにします。

Cisco Unified Mobility の監視

モビリティ プロキシは、IP テレフォニーと同様にデバッグできます TLS プロキシ接続の問題をデバッグするために、SSL の syslog とともに TLS プロキシのデバッグ フラグをイネーブルにできます。

たとえば、TLS プロキシ関連のデバッグと syslog 出力だけをイネーブルにするには、次のコマンドを使用します。

hostname# debug inspect tls-proxy events
hostname# debug inspect tls-proxy errors
hostname# config terminal
hostname(config)# logging enable
hostname(config)# logging timestamp
hostname(config)# logging list loglist message 711001
hostname(config)# logging list loglist message 725001-725014
hostname(config)# logging list loglist message 717001-717038
hostname(config)# logging buffer-size 1000000
hostname(config)# logging buffered loglist
hostname(config)# logging debug-trace
 

TLS プロキシのデバッグ方法および出力例については、「TLS プロキシの監視」を参照してください

MMP 検査エンジンのデバッグを行うには、 debug mmp コマンドをイネーブルにします。

MMP:: received 60 bytes from outside:1.1.1.1/2000 to inside:2.2.2.2/5443
MMP:: version OLWP-2.0
MMP:: forward 60/60 bytes from outside:1.1.1.1/2000 to inside:2.2.2.2/5443
MMP:: received 100 bytes from inside:2.2.2.2/5443 to outside:1.1.1.1/2000
MMP:: session-id: ABCD_1234
MMP:: status: 201
MMP:: forward 100/100 bytes from inside:2.2.2.2/5443 to outside 1.1.1.1/2000
MMP:: received 80 bytes from outside:1.1.1.1/2000 to inside:2.2.2.2/5443
MMP:: content-type: http/1.1
MMP:: content-length: 40
 

次のコマンドを入力して、未加工のデータおよび復号化されたデータを TLS プロキシでキャプチャすることもできます。

hostname# capture mycap interface outside (capturing raw packets)
hostname# capture mycap-dec type tls-proxy interface outside (capturing decrypted data)
hostname# show capture capture_name
hostname# copy /pcap capture:capture_name tftp://tftp_location

Cisco Unified Mobility の設定例

「例 1:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシと MMP 検査を使用したファイアウォールとして機能するセキュリティ アプライアンス」

「例 2:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシとしてだけ機能するセキュリティ アプライアンス」

この項では、Cisco Unified Mobility ソリューションによって使用される TLS プロキシの 2 つの導入シナリオに適用される設定例について説明します。シナリオ 1 では、適応型セキュリティ アプライアンスはファイアウォールと TLS プロキシの両方として機能し、シナリオ 2 では、適応型セキュリティ アプライアンスは TLS プロキシとしてだけ機能します。いずれのシナリオでも、クライアントはインターネットから接続されます。

この例では、Cisco UMA サーバの証明書とキー ペアを PKCS-12 形式でエクスポートし、適応型セキュリティ アプライアンスにインポートします。証明書は、Cisco UMA クライアントとのハンドシェイク中に使用されます。

Cisco UMA サーバの自己署名証明書を適応型セキュリティ アプライアンスのトラストストアにインストールする操作は、適応型セキュリティ アプライアンス プロキシと Cisco UMA サーバとの間のハンドシェイク中に適応型セキュリティ アプライアンスが Cisco UMA サーバを認証するために必要です。Cisco UMA サーバに接続している Cisco UMA クライアントの TLS プロキシ インスタンスを作成します。最後に、MMP 検査で TLS プロキシをイネーブルにする必要があります。

例 1:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシと MMP 検査を使用したファイアウォールとして機能するセキュリティ アプライアンス

図 48-6(シナリオ 1 -- 推奨アーキテクチャ)に示すように、適応型セキュリティ アプライアンスはファイアウォールと TLS プロキシの両方として機能します。シナリオ 1 の導入では、適応型セキュリティ アプライアンスは Cisco UMA クライアントと Cisco UMA サーバの間にあります。このシナリオでは、適応型セキュリティ アプライアンスは Cisco UMA サーバの 10.1.1.2 IP アドレスを 192.0.2.140 に変換することで、スタティック NAT を実行しています。

図 48-6 Cisco UMC/Cisco UMA のアーキテクチャ - シナリオ 1:TLS プロキシと MMP 検査を使用したファイアウォールとして機能するセキュリティ アプライアンス

 

static (inside,outside) 192.0.2.140 10.1.1.2 netmask 255.255.255.255
crypto ca import cuma_proxy pkcs12 sample_passphrase
<cut-paste base 64 encoded pkcs12 here>
quit
! for CUMA server’s self-signed certificate
crypto ca trustpoint cuma_server
enrollment terminal
crypto ca authenticate cuma_server
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIDRTCCAu+gAwIBAgIQKVcqP/KW74VP0NZzL+JbRTANBgkqhkiG9w0BAQUFADCB
[ certificate data omitted ]
/7QEM8izy0EOTSErKu7Nd76jwf5e4qttkQ==
quit
tls-proxy cuma_proxy
server trust-point cuma_proxy
no server authenticate-client
client cipher-suite aes128-sha1 aes256-sha1
class-map cuma_proxy
match port tcp eq 5443
policy-map global_policy
class cuma_proxy
inspect mmp tls-proxy cuma_proxy
service-policy global_policy global

例 2:Cisco UMC/Cisco UMA のアーキテクチャ - TLS プロキシとしてだけ機能するセキュリティ アプライアンス

図 48-7(シナリオ 2)に示すように、適応型セキュリティ アプライアンスは TLS プロキシとしてだけ機能し、既存のファイアウォールを使用します。適応型セキュリティ アプライアンスと企業ファイアウォールが NAT を実行しています。企業ファイアウォールは、インターネットのどのクライアントを企業の Cisco UMA サーバに接続する必要があるのかを予測できません。したがって、この導入をサポートするために、次のアクションを実行することができます。

宛先 IP アドレス 192.0.2.41 を 172.16.27.41 に変換する着信トラフィックの NAT 規則を設定します。

すべてのパケットの送信元 IP アドレスを変換する着信トラフィックのインターフェイス PAT 規則を設定し、企業ファイウォールがワイルドカード ピンホールを開く必要がないようにします。Cisco UMA サーバは送信元 IP アドレスが 67.11.12.183 のパケットを受信します。

hostname(config)# nat (outside) 1 0.0.0.0 0.0.0.0 outside
hostname(config)# global (inside) 1 192.0.2.183 netmask 255.255.255.255

図 48-7 Cisco UMC/Cisco UMA のアーキテクチャ - シナリオ 2:TLS プロキシとしてだけ機能するセキュリティ アプライアンス

 

static (inside,outside) 192.0.2.140 172.16.27.41 netmask 255.255.255.255
nat (outside) 1 0.0.0.0 0.0.0.0 outside
global (inside) 1 192.0.2.183 netmask 255.255.255.255
crypto ca import cuma_proxy pkcs12 sample_passphrase
<cut-paste base 64 encoded pkcs12 here>
quit
! for CUMA server’s self-signed certificate
crypto ca trustpoint cuma_server
enrollment terminal
crypto ca authenticate cuma_server
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIDRTCCAu+gAwIBAgIQKVcqP/KW74VP0NZzL+JbRTANBgkqhkiG9w0BAQUFADCB
[ certificate data omitted ]
/7QEM8izy0EOTSErKu7Nd76jwf5e4qttkQ==
quit
tls-proxy cuma_proxy
server trust-point cuma_proxy
no server authenticate-client
client cipher-suite aes128-sha1 aes256-sha1
class-map cuma_proxy
match port tcp eq 5443
policy-map global_policy
class cuma_proxy
inspect mmp tls-proxy cuma_proxy
service-policy global_policy global
 

Cisco Unified Mobility の機能履歴

ここに情報を挿入