Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
セキュリティ アプライアンスの概要
セキュリティ アプライアンスの概要
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

セキュリティ アプライアンスの概要

サポート対象のプラットフォーム

モデルごとの SSM および SSC サポート

VPN 仕様

新機能

ファイアウォール機能の概要

セキュリティ ポリシーの概要

アクセスリストによるトラフィックの許可または拒否

NAT の適用

IP フラグメントからの保護

通過トラフィックに対する AAA の使用

HTTP、HTTPS、または FTP フィルタリングの適用

アプリケーション検査の適用

Advanced Inspection and Prevention Security Services Module(AIP SSM)へのトラフィック送信

Content Security and Control Security Services Module(CSC SSM)へのトラフィック送信

QoS ポリシーの適用

接続の制限と TCP 正規化の適用

脅威検出のイネーブル化

ボットネット トラフィック フィルタのイネーブル化

Cisco Unified Communications の設定

ファイアウォール モードの概要

ステートフル インスペクションの概要

VPN 機能の概要

セキュリティ コンテキストの概要

セキュリティ アプライアンスの概要

適応型セキュリティ アプライアンスは、高度なステートフル ファイアウォールと VPN コンセントレータの機能を 1 つのデバイスに組み合せたもので、一部のモデルでは、AIP SSM/SSC と呼ばれる統合侵入防御モジュールや、CSC SSM と呼ばれる統合コンテンツ セキュリティおよび制御モジュールが組み込まれています。適応型セキュリティ アプライアンスの多数の高度な機能には、マルチセキュリティ コンテキスト(仮想ファイアウォールに類似)、透過(レイヤ 2)ファイアウォール動作またはルーテッド(レイヤ 3)ファイアウォール動作、高度な検査エンジン、IPSec VPN、SSL VPN、およびクライアントレス SSL VPN のサポート、その他の機能があります。

この章には、次の項があります。

「サポート対象のプラットフォーム」

「モデルごとの SSM および SSC サポート」

「VPN 仕様」

「新機能」

「ファイアウォール機能の概要」

「VPN 機能の概要」

「セキュリティ コンテキストの概要」

サポート対象のプラットフォーム

このリリースでサポートされる ASA プラットフォームの完全なリストについては、次の URL にある『 Cisco ASA 5500 Series and PIX 500 Series Security Appliance Hardware and Software Compatibility 』を参照してください。

http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html

モデルごとの SSM および SSC サポート

表 1-1 に各プラットフォームによってサポートされる Security Services Module(SSM; セキュリティ サービス モジュール)と Security Services Card(SSC; セキュリティ サービス カード)を示します。

 

表 1-1 SSM サポート

プラットフォーム
SSM モデル
SSC モデル

ASA 5505

サポートしない

AIP SSC 5

ASA 5510

AIP SSM 10

AIP SSM 20

CSC SSM 10

CSC SSM 20

4GE SSM

サポートしない

ASA 5520

AIP SSM 10

AIP SSM 20

AIP SSM 40

CSC SSM 10

CSC SSM 20

4GE SSM

サポートしない

ASA 5540

AIP SSM 10

AIP SSM 20

AIP SSM 40

CSC SSM 101

CSC SSM 201

4GE SSM

サポートしない

ASA 5550

サポートしない(4GE SSM が組み込まれ、ユーザは削除できません)

サポートしない

ASA 5580

サポートしない

サポートしない

1.CSC SSM ライセンスでは最大 1,000 ユーザをサポートでき、Cisco ASA 5540 シリーズ アプライアンスではさらに多くのユーザをサポートできます。CSC SSM を ASA 5540 適応型セキュリティ アプライアンスとともに展開する場合、スキャンする必要があるトラフィックにだけ CSC SSM が送信されるようにセキュリティ アプライアンスを設定してください。

VPN 仕様

http://www.cisco.com/en/US/docs/security/asa/compatibility/vpn-platforms-83.html の『 Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。

新機能

表 1-2 に ASA Version 8.3(1) の新機能を示します。

 

表 1-2 ASA Version 8.3(1) の新機能

機能
説明
リモート アクセス機能

スマート トンネルの拡張機能

ログオフの拡張機能:すべてのブラウザ ウィンドウが閉じると、スマート トンネルからログオフできるようになりました(親アフィニティ)。あるいは、システム トレイの通知アイコンを右クリックすると、ログアウトを確認できます。

トンネル ポリシー:管理者は、VPN ゲートウェイを通過する接続と通過しない接続を指定できます。管理者が許可すれば、エンド ユーザはスマート トンネルを使用して社内リソースにアクセス中、直接インターネットをブラウズできます。

トンネリングするアプリケーションのコンフィギュレーションの簡素化:スマート トンネルが必要な場合、スマート トンネルにアクセスしてから特定の Web ページにアクセスするというプロセスのリストを設定する必要はありません。ブックマークまたはスタンドアロン アプリケーションの [enable smart tunnel] チェックボックスを使用すると、プロセスを簡単に設定できます。

グループ ポリシー ホーム ページ:管理者はスマート トンネル経由で接続できるよう、ASDM のチェックボックスを使用して、グループ ポリシーでホーム ページを指定できるようになりました。

smart-tunnel network および smart-tunnel tunnel-policy コマンドが導入されました。

ブラウザベース VPN で新しくサポートされるプラットフォーム

リリース 8.3(1) では、新しくサポートされる次のプラットフォームから、ブラウザベース(クライアントレス)の VPN アクセスが可能です。

Windows 7 x86(32 ビット)および x64(64 ビット)、Internet Explorer 8.x および Firefox 3.x 経由

Windows Vista x64、Internet Explorer 7.x/8.x または Firefox 3.x 経由

Windows XP x64、Internet Explorer 6.x/7.x/8.x および Firefox 3.x 経由

Mac OS 10.6 32 および 64 ビット、Safari 4.x および Firefox 3.x 経由

Firefox 2.x は、今後テストは実施されませんが、ほとんどの場合動作すると考えられます。

リリース 8.3(1) では、Mac OS 10.5 の 64 ビット アプリケーションに対し、ブラウザ ベースのサポートが導入されます。

リリース 8.3(1) では、ブラウザベースの VPN アクセス用にサポートされるすべての 32 ビットおよび 64 ビット Windows および Mac OS で、スマート トンネル アクセスがサポートされるようになりました。64 ビット OS でのポート転送はサポートされません。

ブラウザベースの VPN アクセスでは、Windows 7、Vista、および Internet Explorer 8 での Windows 共有(CIFS)Web フォルダはサポートされません。64 ビット ブラウザでは、RDP プラグインの ActiveX バージョンは使用できません。

(注) Windows 2000 および Mac OS X 10.4 のブラウザベース アクセスはサポートの対象外となりました。

IKEv1 LAN-to-LAN VPN 接続用の IPv6 サポート

IPv4 アドレッシングと IPv6 アドレッシングが混在した、またはすべて IPv6 アドレッシングの LAN-to-LAN 接続については、両方のピアが Cisco ASA 5500 シリーズ セキュリティ アプライアンスの場合、および両方の内部ネットワークのアドレッシング方式が一致している場合(両方が IPv4 または両方が IPv6 の場合)は、セキュリティ アプライアンスで VPN トンネルがサポートされます。

具体的には、両方のピアが Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの場合、次のトポロジがサポートされます。

適応型セキュリティ アプライアンスの内部ネットワークが IPv4 で、外部ネットワークが IPv6(内部インターフェイス上のアドレスが IPv4 で、外部インターフェイス上のアドレスが IPv6)

適応型セキュリティ アプライアンスの内部ネットワークが IPv6 で、外部ネットワークが IPv4(内部インターフェイス上のアドレスが IPv6 で、外部インターフェイス上のアドレスが IPv4)

適応型セキュリティ アプライアンスの内部ネットワークが IPv6 で、外部ネットワークが IPv6(内部および外部インターフェイス上のアドレスが IPv6)


) 現在 Cisco ASA 5500 シリーズは、CSCtd38078 の不具合より、LAN-to-LAN 接続の ピア デバイスとしての Cisco IOS デバイスに接続できません。


isakmp enable crypto map crypto dynamic-map tunnel-group ipv6-vpn-filter vpn-sessiondb show crypto isakmp sa show crypto ipsec sa show crypto debug-condition show debug crypto show vpn-sessiondb debug crypto condition debug menu ike の各コマンドが変更または導入されました。

ファイアウォール機能

インターフェイスに依存しないアクセス ポリシー

1 つのインターフェイスに適用される規則のほか、グローバルに適用されるアクセス規則を設定できるようになりました。コンフィギュレーションでグローバル アクセス ポリシーとインターフェイス固有のアクセス ポリシーの両方が指定されている場合は、グローバル ポリシーの前にインターフェイス固有のポリシーがは評価されます。

access-group global コマンドが変更されました。

ネットワークおよびサービス オブジェクト

名前付きのネットワーク オブジェクトを作成し、ホスト、サブネット、または IP アドレス範囲の代わりにコンフィギュレーションで使用できるようになりました。また、名前付きのサービス オブジェクトを作成し、プロトコルおよびポートの代わりにコンフィギュレーションで使用できるようになりました。オブジェクトの定義は、コンフィギュレーションの他の部分を変更せずに、1 箇所だけを変更することができます。このリリースでは、次の機能でネットワークおよびサービス オブジェクトがサポートされます。

NAT

アクセスリスト

ネットワーク オブジェクト グループ

object network object service show running-config object clear configure object access-list extended object-group network の各コマンドが変更または導入されました。

オブジェクト グループ拡張規則の削減

パケット分類のパフォーマンスは十分なレベルで維持しつつ、ネットワーク オブジェクト グループの拡張は大幅に削減されました。

show object-group clear object-group show access-list の各コマンドが変更されました。

NAT の簡素化

NAT コンフィギュレーションは全面的に再設計され、柔軟性と使いやすさが向上しました。自動 NAT を使用して NAT を設定すると、ネットワーク オブジェクトの属性の一部として NAT を設定でき、手動 NAT を使用すると、より高度な NAT オプションを設定できるようになりました。

nat (グローバルおよびオブジェクト ネットワーク コンフィギュレーション モード)、 show nat show nat pool show xlate show running-config nat の各コマンドが導入または変更されました。

global static nat-control alias の各コマンドは削除されました。

アクセスリストでの変換後のアドレスに代わる実際の IP アドレスの使用

NAT を使用する場合、多数の機能を実現するために、アクセスリストでマッピング アドレスを使用する必要はなくなりました。次の機能を設定する場合は、常に変換されていない実際のアドレスを使用します。実際のアドレスを使用するということは、NAT コンフィギュレーションが変更された場合にアクセスリストを変更する必要がないことを意味します。

アクセスリストを使用する次のコマンドと機能では、今後は実際の IP アドレスが使用されます。8.3 へのアップグレードを行うと、特に指定のない限り、これらの機能は実際の IP アドレスを使用するよう自動的に移行されます。

access-group コマンド

モジュラ ポリシー フレームワークの match access-list コマンド

ボットネット トラフィック フィルタの dynamic-filter enable classify-list コマンド

AAA の aaa ... match コマンド

WCCP の wccp redirect-list group-list コマンド

(注) WCCP は 8.3 へのアップグレード時に自動的に移行されません。

脅威検出の拡張機能

高度な統計情報を収集するレート間隔の数値をカスタマイズできるようになりました。デフォルトのレート数は、3 から 1 に変更されました。基本的な統計情報、高度な統計情報、およびスキャン脅威検出用に、メモリの使用方法が改善されました。

threat-detection statistics port number-of-rates threat-detection statistics protocol number-of-rates show threat-detection memory の各コマンドが変更されました。

ユニファイド コミュニケーション機能

SCCP v19 のサポート

Cisco Phone Proxy 機能の IP 電話サポートが拡張され、サポート対象 IP 電話リストに SCCP プロトコルのバージョン 19 のサポートが追加されました。

Cisco Intercompany Media Engine Proxy

Cisco Intercompany Media Engine(UC-IME)では、企業は VoIP テクノロジーによって実現された高度な機能を使用して、インターネット上でオンデマンドの相互通信ができます。Cisco Intercompany Media Engine では、ピアツーピア、セキュリティ、および SIP プロトコルを使用してビジネス間にダイナミック SIP トランクを作成することにより、異なる企業内の Cisco Unified Communications Manager クラスタの間で Business-to-Business フェデレーションを実現できます。企業の集合は、最終的にそれらの間にクラスタ間トランクが存在する 1 つの大きなビジネスであるかのように連携します。

uc-ime fallback hold-down fallback monitoring fallback sensitivity-file mapping-service listening-interface media-termination ticket epoch ucm address clear configure uc-ime debug uc-ime show running-config uc-ime inspect sip の各コマンドが変更または導入されました。

IME 向けの SIP 検査サポート

SIP 検査が拡張され、新しい Cisco Intercompany Media Engine(UC-IME)Proxy のサポートが追加されました。

inspect sip コマンドが変更されました。

モニタリング機能

アクセスリストのヒット数のタイムスタンプ

指定されたアクセスリストについて、ハッシュ値とヒット数とともにタイムスタンプが表示されます。

show access-list コマンドが変更されました。

ASDM のハイ パフォーマンス モニタリング

ASDM のハイ パフォーマンス モニタリングをイネーブルにすると、適応型セキュリティ アプライアンス経由で接続されたホストの上位 200 を表示できるようになりました。ホストの各エントリには、ホストの IP アドレスと、ホストによって開始された接続の数が含まれ、このエントリは 120 秒ごとにアップデートされます。

hpm topn enable clear configure hpm 、および show running-config hpm の各コマンドが導入されました。

ライセンシング機能

同一でないフェールオーバー ライセンス

フェールオーバー ライセンスが各装置で同じである必要がなくなりました。プライマリおよびセカンダリ装置のライセンスを結合したライセンスが両方の装置で使用されます。

show activation-key および show version の各コマンドが変更されました。

スタック可能な時間ベース ライセンス

時間ベース ライセンスがスタック可能になりました。多くの場合、時間ベース ライセンスは更新の必要があり、旧ライセンスから新しいライセンスへシームレスに移行する必要があります。時間ベース ライセンスだけで使用される機能では、新しいライセンスが適用される前に、ライセンスの有効期限が切れてしまわないことが特に重要です。適応型セキュリティ アプライアンスでは時間ベース ライセンスを スタック できるので、ライセンスの有効期限が切れたり、新しいライセンスを早めにインストールしたために時間が無駄になったりする心配はありません。数値ティアを持つライセンスの場合、スタックできるのは容量が同じライセンスだけです。たとえば、SSL VPN セッション数が 1000 である 2 つの ライセンスはスタック可能です。show activation-key コマンドを使用すると、ライセンスの状態を表示できます。

Intercompany Media Engine ライセンス

IME ライセンスが導入されました。

複数の時間ベース ライセンスの同時アクティブ化

複数の時間ベース ライセンスをインストールし、機能ごとに 1 つのライセンスを同時にアクティブ化できるようになりました。

show activation-key および show version の各コマンドが変更されました。

時間ベース ライセンスのアクティブ化と非アクティブ化の個別化

コマンドを使用して、時間ベース ライセンスをアクティブ化または非アクティブ化できるようになりました。

activation-key [ activate | deactivate ] コマンドが変更されました。

一般的な機能

マスター パスフレーズ

マスター パスフレーズ機能を利用すると、プレーン テキスト パスワードを暗号化された形式で安全に保存できます。この機能では、マスター キーを使用して、機能を変更することなく、すべてのパスワードを例外なく暗号化またはマスクできます。

key config-key password-encryption および password encryption aes の各コマンドが導入されました。

 
 

ファイアウォール機能の概要

ファイアウォールは、外部ネットワーク上のユーザによる不正アクセスから内部ネットワークを保護します。また、ファイアウォールは、人事部門ネットワークをユーザ ネットワークから分離するなど、内部ネットワーク同士の保護も行います。Web サーバまたは FTP サーバなど、外部のユーザが使用できるようにする必要のあるネットワーク リソースがあれば、ファイアウォールで保護された別のネットワーク( Demiliterized Zone (DMZ; 非武装地帯)と呼ばれる)上に配置します。ファイアウォールによって DMZ に許可されるアクセスは限定されますが、DMZ にあるのは公開サーバだけのため、この地帯が攻撃されても影響を受けるのは公開サーバに限定され、他の内部ネットワークに影響が及ぶことはありません。また、特定アドレスだけに許可する、認証または認可を義務づける、または外部の URL フィルタリング サーバと協調するといった手段によって、内部ユーザが外部ネットワーク(インターネットなど)にアクセスする機会を制御することもできます。

ファイアウォールに接続されているネットワークに言及する場合、 外部 ネットワークはファイアウォールの手前にあるネットワーク、 内部 ネットワークはファイアウォールの背後にある保護されているネットワーク、そして DMZ はファイアウォールの背後にあるが、外部ユーザに制限付きのアクセスが許されているネットワークです。適応型セキュリティ アプライアンスを使用すると、数多くのインターフェイスに対してさまざまなセキュリティ ポリシーが設定できます。このインターフェイスには、多数の内部インターフェイス、多数の DMZ、および必要に応じて多数の外部インターフェイスが含まれるため、ここでは、このインターフェイスの区分は一般的な意味で使用するだけです。

この項は、次の内容で構成されています。

「セキュリティ ポリシーの概要」

「ファイアウォール モードの概要」

「ステートフル インスペクションの概要」

セキュリティ ポリシーの概要

他のネットワークにアクセスするために、ファイアウォールを通過することが許可されるトラフィックがセキュリティ ポリシーによって決められます。デフォルトでは、内部ネットワーク(高セキュリティ レベル)から外部ネットワーク(低セキュリティ レベル)へのトラフィックは、自由に流れることが適応型セキュリティ アプライアンスによって許可されます。トラフィックにアクションを適用してセキュリティ ポリシーをカスタマイズすることができます。この項は、次の内容で構成されています。

「アクセスリストによるトラフィックの許可または拒否」

「NAT の適用」

「IP フラグメントからの保護」

「通過トラフィックに対する AAA の使用」

「HTTP、HTTPS、または FTP フィルタリングの適用」

「アプリケーション検査の適用」

「Advanced Inspection and Prevention Security Services Module(AIP SSM)へのトラフィック送信」

「Content Security and Control Security Services Module(CSC SSM)へのトラフィック送信」

「QoS ポリシーの適用」

「接続の制限と TCP 正規化の適用」

「脅威検出のイネーブル化」

「ボットネット トラフィック フィルタのイネーブル化」

「Cisco Unified Communications の設定」

アクセスリストによるトラフィックの許可または拒否

アクセスリストは、内部から外部へのトラフィックを制限するため、または外部から内部へのトラフィックを許可するために使用できます。透過ファイアウォール モードでは、非 IP トラフィックを許可するための EtherType アクセスリストも適用できます。

NAT の適用

NAT の利点のいくつかを次に示します。

内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インターネットにルーティングできません。

NAT はローカル アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレスを取得できません。

NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。

IP フラグメントからの保護

適応型セキュリティ アプライアンスは IP フラグメント保護を提供します。この機能は、すべての ICMP エラー メッセージの完全リアセンブリ、および適応型セキュリティ アプライアンスを介してルーティングされる残りの IP フラグメントの仮想リアセンブリを実行します。セキュリティ チェックに失敗したフラグメントは、ドロップされログに記録されます。仮想リアセンブリはディセーブルにできません。

通過トラフィックに対する AAA の使用

HTTP など特定のタイプのトラフィックに対して、認証と認可のいずれかまたは両方を要求することができます。適応型セキュリティ アプライアンスは、RADIUS サーバまたは TACACS+ サーバにアカウンティング情報を送信することもあります。

HTTP、HTTPS、または FTP フィルタリングの適用

アクセスリストを使用して、特定の Web サイトまたは FTP サーバへの発信アクセスを禁止できますが、このような方法で Web サイトの使用方法を設定し管理することは、インターネットの規模とダイナミックな特性から、実用的とはいえません。適応型セキュリティ アプライアンスを、次のインターネット フィルタリング製品のいずれかを実行している別のサーバと連携させて使用することをお勧めします。

Websense Enterprise

Secure Computing SmartFilter

アプリケーション検査の適用

検査エンジンは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロトコルは、適応型セキュリティ アプライアンスが詳細なパケット検査を行うことを要求します。

Advanced Inspection and Prevention Security Services Module(AIP SSM)へのトラフィック送信

使用しているモデルが侵入防御用の AIP SSM をサポートしている場合、トラフィックを AIP SSM に送信して検査することができます。AIP SSM は、多数の埋め込み署名ライブラリに基づいて異常や悪用を探索することでネットワーク トラフィックのモニタおよびリアルタイム分析を行う侵入防御サービス モジュールです。システムで不正なアクティビティが検出されると、侵入防御サービス機能は、該当する接続を終了して攻撃元のホストを永続的にブロックし、この事象をログに記録し、さらにアラートを Device Manager に送信します。その他の正規の接続は、中断することなく独立した動作を継続します。詳細については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 』を参照してください。

Content Security and Control Security Services Module(CSC SSM)へのトラフィック送信

使用しているモデルでサポートされていれば、CSC SSM により、ウイルス、スパイウェア、スパム、およびその他の不要トラフィックから保護されます。これは、FTP、HTTP、POP3、および SMTP トラフィックをスキャンすることで実現されます。そのためには、これらのトラフィックを CSC SSM に送信するように適応型適応型セキュリティ アプライアンスを設定しておきます。

QoS ポリシーの適用

音声やストリーミング ビデオなどのネットワーク トラフィックでは、長時間の遅延は許容されません。QoS は、この種のトラフィックにプライオリティを設定するネットワーク機能です。QoS とは、選択したネットワーク トラフィックによりよいサービスを提供するネットワークの機能です。

接続の制限と TCP 正規化の適用

TCP 接続、UDP 接続、および初期接続を制限することができます。接続と初期接続の数を制限することで、DoS 攻撃(サービス拒絶攻撃)から保護されます。適応型セキュリティ アプライアンスでは、初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。

TCP 正規化は、正常に見えないパケットをドロップするように設計された高度な TCP 接続設定で構成される機能です。

脅威検出のイネーブル化

スキャン脅威検出と基本脅威検出、さらに統計情報を使用して脅威を分析する方法を設定できます。

基本脅威検出は、DoS 攻撃などの攻撃に関係している可能性のあるアクティビティを検出し、自動的にシステム ログ メッセージを送信します。

典型的なスキャン攻撃では、あるホストがサブネット内の IP アドレスにアクセスできるかどうかを 1 つずつ試します(サブネット内の複数のホストすべてを順にスキャンするか、1 つのホストまたはサブネットの複数のポートすべてを順にスイープする)。スキャン脅威検出機能は、いつホストがスキャンを実行するかを判別します。トラフィック署名に基づく IPS スキャン検出とは異なり、適応型セキュリティ アプライアンスのスキャン脅威検出機能では広範なデータベースが維持され、そこに格納されているホストの統計情報を使用してスキャン アクティビティがあるかどうかを分析できます。

ホスト データベースは、アクティビティを返さない接続、閉じられているサービス ポートへのアクセス、非ランダム IPID などの脆弱な TCP の動作、およびその他の疑わしいアクティビティを追跡します。

攻撃者に関するシステム ログ メッセージを送信するように適応型セキュリティ アプライアンスを設定できます。または自動的にホストを排除できます。

ボットネット トラフィック フィルタのイネーブル化

マルウェアは、ホストが認識していないときにインストールされる悪意のあるソフトウェアです。プライベート データ(パスワード、クレジット カード番号、キー ストローク、または独自データ)の送信などのネットワーク アクティビティを試みるマルウェアは、マルウェアが既知の不正な IP アドレスへの接続を開始したときにボットネット トラフィック フィルタによって検出できます。ボットネット トラフィック フィルタは、着信と発信の接続を既知の不正なドメイン名と IP アドレス(ブラックリスト)のダイナミック データベースと照合して確認し、不審なアクティビティのログを記録します。マルウェア アクティビティに関する syslog メッセージを確認すると、ホストを切り離して感染を解決するための手順を実行できます。

Cisco Unified Communications の設定

Cisco ASA 5500 シリーズ アプライアンスは、統合された通信構成にプロキシの機能を提供する戦略的なプラットフォームです。プロキシの目的は、クライアントとサーバ間の接続を終端し、再発信することです。プロキシは、トラフィック検査、プロトコルとの適合性、ポリシー制御など幅広いセキュリティ機能を提供し、内部ネットワークのセキュリティを保証します。プロキシの機能として広く普及しているのが、暗号化された接続を終端して、接続の機密性を維持しながらセキュリティ ポリシーを適用する機能です。

ファイアウォール モードの概要

適応型セキュリティ アプライアンスは、次の 2 つのファイアウォール モードで動作します。

ルーテッド

透過

ルーテッド モードでは、適応型セキュリティ アプライアンスは、ネットワークのルータ ホップと見なされます。

トランスペアレント モードでは、適応型セキュリティ アプライアンスは「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作し、ルータ ホップとは見なされません。適応型セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。

透過ファイアウォールは、ネットワーク コンフィギュレーションを簡単にするために使用できます。トランスペアレント モードは、攻撃者からファイアウォールが見えないようにする場合にも有効です。透過ファイアウォールは、他の場合にはルーテッド モードでブロックされるトラフィックにも使用できます。たとえば、透過ファイアウォールでは、EtherType アクセスリストを使用するマルチキャスト ストリームが許可されます。

ステートフル インスペクションの概要

適応型セキュリティ アプライアンスを通過するトラフィックはすべて、アダプティブ セキュリティ アルゴリズムを使用して検査され、通過が許可されるか、またはドロップされます。単純なパケット フィルタは、送信元アドレス、宛先アドレス、およびポートが正しいかどうかはチェックできますが、パケット シーケンスまたはフラグが正しいかどうかはチェックしません。また、フィルタはすべてのパケットをフィルタと照合してチェックするため、処理が低速になる場合があります。


) TCP ステート バイパス機能を使用すると、パケット フローをカスタマイズできます。「TCP ステート バイパス」を参照してください。


ただし、適応型セキュリティ アプライアンスのようなステートフル ファイアウォールは、パケットの次のようなステートについて検討します。

新規の接続かどうか。

新規の接続の場合、適応型セキュリティ アプライアンスは、パケットをアクセスリストと照合してチェックする必要があり、これ以外の各種のタスクを実行してパケットの許可または拒否を決定する必要があります。このチェックを行うために、セッションの最初のパケットは「セッション管理パス」を通過しますが、トラフィックのタイプに応じて、「コントロール プレーン パス」も通過する場合があります。

セッション管理パスで行われるタスクは次のとおりです。

アクセスリストとの照合チェック

ルート ルックアップ

NAT 変換(xlates)の割り当て

「ファースト パス」でのセッション確立

レイヤ 7 検査が必要なパケット(パケットのペイロードの検査または変更が必要)は、コントロール プレーン パスに渡されます。レイヤ 7 検査エンジンは、2 つ以上のチャネルを持つプロトコルで必要です。2 つ以上のチャネルの 1 つは周知のポート番号を使用するデータ チャネルで、その他はセッションごとに異なるポート番号を使用するコントロール チャネルです。このようなプロトコルには、FTP、H.323、および SNMP があります。

確立済みの接続かどうか。

接続がすでに確立されている場合は、適応型セキュリティ アプライアンスでパケットの再チェックを行う必要はありません。一致するパケットの大部分は、両方向で「ファースト」パスを通過できます。高速パスで行われるタスクは次のとおりです。

IP チェックサム検証

セッション ルックアップ

TCP シーケンス番号のチェック

既存セッションに基づく NAT 変換

レイヤ 3 ヘッダー調整およびレイヤ 4 ヘッダー調整

UDP プロトコルまたは他のコネクションレス型プロトコルに対して、適応型セキュリティ アプライアンスはコネクション ステート情報を作成して、高速パスも使用できるようにします。

レイヤ 7 検査を必要とするプロトコルに合致するデータ パケットも高速パスを通過できます。

確立済みセッション パケットの中には、セッション管理パスまたはコントロール プレーン パスを引き続き通過しなければならないものがあります。セッション管理パスを通過するパケットには、検査またはコンテンツ フィルタリングを必要とする HTTP パケットが含まれます。コントロール プレーン パスを通過するパケットには、レイヤ 7 検査を必要とするプロトコルのコントロール パケットが含まれます。

VPN 機能の概要

VPN は、TCP/IP ネットワーク(インターネットなど)上のセキュアな接続で、プライベートな接続として表示されます。このセキュアな接続はトンネルと呼ばれます。適応型セキュリティ アプライアンスは、トンネリング プロトコルを使用して、セキュリティ パラメータのネゴシエート、トンネルの作成および管理、パケットのカプセル化、トンネルを通したパケットの送信または受信、パケットのカプセル化の解除を行います。適応型セキュリティ アプライアンスは、双方向のトンネル エンドポイントとして機能します。たとえば、プレーン パケットを受信してカプセル化し、それをトンネルのもう一方の側に送信することができます。そのエンドポイントで、パケットはカプセル化が解除され、最終的な宛先に送信されます。また、セキュリティ アプライアンスは、カプセル化されたパケットを受信してカプセル化を解除し、それを最終的な宛先に送信することもできます。適応型セキュリティ アプライアンスは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

適応型セキュリティ アプライアンスが実行する機能は次のとおりです。

トンネルの確立

トンネル パラメータのネゴシエーション

ユーザの認証

ユーザ アドレスの割り当て

データの暗号化と復号化

セキュリティ キーの管理

トンネルを通したデータ転送の管理

トンネル エンドポイントまたはルータとしての着信データと発信データの転送の管理

適応型セキュリティ アプライアンスは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

セキュリティ コンテキストの概要

1 台の適応型セキュリティ アプライアンスを、セキュリティ コンテキストと呼ばれる複数の仮想デバイスに分割することができます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立したデバイスです。マルチコンテキストは、複数のスタンドアロン デバイスを使用することに似ています。マルチコンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつかの機能はサポートされません。

マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスには、セキュリティ ポリシー、インターフェイス、およびスタンドアロン デバイスで設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。システム管理者は、システム コンフィギュレーションに設定することでコンテキストを追加および管理します。このコンフィギュレーションは、シングルモードのコンフィギュレーション同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、適応型セキュリティ アプライアンスの基本設定を識別します。システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウンロードするときなど)は、管理コンテキストとして指定されたコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただし、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。


) 管理者は、自分のコンテキストすべてをルーテッド モードまたはトランスペアレント モードで実行することができますが、一部のコンテキストを一方のモードで実行し、他のコンテキストをもう一方のモードで実行することはできません。

マルチコンテキスト モードでは、スタティック ルーティングだけをサポートします。