Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
AIP SSM および CSC SSM の管理
AIP SSM および CSC SSM の管理
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

AIP SSM および CSC SSM の管理

の管理

について

の準備

へのトラフィックの誘導

へのセッションの接続とセットアップの実行

の管理

について

の準備

スキャンするトラフィックの指定

を通過する接続の制限

へのトラフィックの誘導

ステータスのチェック

へのイメージの転送

AIP SSM および CSC SSM の管理

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスは、さまざまな SSM をサポートします。この章では、AIP SSM または CSC SSM をサポートするように適応型セキュリティ アプライアンスを設定する方法について説明します。また、これらの SSM にトラフィックを送信する方法についても取り上げます。

ASA 5000 シリーズ適応型セキュリティ アプライアンスの 4GE SSM については、「イーサネットとサブインターフェイスの設定」を参照してください。


) Cisco PIX 500 シリーズ セキュリティ アプライアンスは、SSM をサポートしません。


次の事項について説明します。

「AIP SSM の管理」

「CSC SSM の管理」

「SSM ステータスのチェック」

「SSM へのイメージの転送」

AIP SSM の管理

ここでは、次の項目について説明します。

「AIP SSM について」

「AIP SSM の準備」

「AIP SSM へのトラフィックの誘導」

「AIP SSM へのセッションの接続とセットアップの実行」

AIP SSM について

ASA 5500 シリーズ適応型セキュリティ アプライアンスは、AIP SSM をサポートします。AIP SSM は、セキュリティ検査を強化する高度な IPS ソフトウェアを実行します。適応型セキュリティ アプライアンスは、他のファイアウォール ポリシーが適用された後、パケットが出力インターフェイスを出る直前(または、VPN 暗号化が設定されている場合は、VPN 暗号化が発生する直前)にパケットを AIP SSM に誘導します。たとえば、アクセスリストでブロックされたパケットは、AIP SSM に転送されません。

AIP SSM は、次の 2 つのモードのいずれかで動作できます。

インライン モード :AIP SSM をトラフィック フローに直接配置します。すべてのトラフィックは、まず AIP SSM を通過し、検査されます。その後で、適応型セキュリティ アプライアンスを通過します。このモードは、すべてのパケットが通過前に分析されるため、最も安全です。また、AIP SSM はパケット単位のブロック ポリシーを実装できます。ただし、このモードは、スループットに影響を与えることがあります。このモードは、 ips コマンドの inline キーワードを使用して指定します。

無差別モード :トラフィックの重複ストリームを AIP SSM に送信します。このモードは安全性では劣りますが、トラフィックのスループットにほとんど影響を与えません。インライン モードの動作とは異なり、無差別モードで動作している SSM は、適応型セキュリティ アプライアンスにトラフィックを 排除 するように指示するか、適応型セキュリティ アプライアンス上の接続をリセットすることによってのみトラフィックをブロックできます。また、AIP SSM がトラフィックを分析している間、AIP SSM がブロックする前に、少量のトラフィックが適応型セキュリティ アプライアンスを通過することがあります。このモードは、 ips コマンドの inline キーワードを使用して指定します。

ハードウェア障害やその他の原因で AIP SSM を使用できない場合に適応型セキュリティ アプライアンスがトラフィックを処理する方法を指定できます。この動作は、 ips コマンドの 2 つのキーワードを使用して制御します。 fail-close キーワードは、AIP SSM が使用できない場合はすべてのトラフィックをブロックするように、適応型セキュリティ アプライアンスを設定します。 fail-open キーワードは、AIP SSM が使用できない場合はすべてのトラフィックを検査せずに通過させるように、適応型セキュリティ アプライアンスを設定します。

AIP SSM の動作モードの設定方法および AIP SSM セキュリティ アプライアンスによる障害時のトラフィック処理方法に関する詳細については、「AIP SSM へのトラフィックの誘導」を参照してください。

AIP SSM の準備

AIP SSM を設定するには、まず ASA 5500 シリーズ適応型セキュリティ アプライアンスを設定し、次に AIP SSM を設定します。

1. ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、AIP SSM に誘導するトラフィックを特定します(「AIP SSM へのトラフィックの誘導」の説明を参照してください)。

2. AIP SSM では、検査と保護ポリシーを設定することにより、トラフィックの検査方法と侵入検出時の対処を決定します。AIP SSM 上で動作する IPS ソフトウェアは非常に強力であり、このマニュアルの範囲外です。そのため、詳細な設定情報については、以下に示す別のマニュアルを参照してください。

Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface

Command Reference for Cisco Intrusion Prevention System

AIP SSM へのトラフィックの誘導

トラフィックを AIP SSM に誘導するように適応型セキュリティ アプライアンスを設定するには、MPF コマンドを使用します。その設定を適応型セキュリティ アプライアンスに行う前に、「モジュラ ポリシー フレームワークの使用」をお読みください。MPF の概念と一般的なコマンドの概要が説明されています。

適応型セキュリティ アプライアンスから AIP SSM に誘導するトラフィックを特定するには、次の手順を実行します。


ステップ 1 すべてのトラフィックが一致するアクセスリストを次のように作成します。

hostname(config)# access-list acl-name permit ip any any
 

ステップ 2 AIP SSM に誘導するトラフィックを特定するクラスマップを作成します。これを行うには、 class-map コマンドを次のように使用します。

hostname(config)# class-map class_map_name
hostname(config-cmap)#
 

class_map_name には、トラフィック クラスの名前を指定します。 class-map コマンドを入力すると、CLI はクラスマップ コンフィギュレーション モードに移行します。

ステップ 3 match access-list コマンドを ステップ 1 で作成したアクセスリストとともに使用して、スキャンするトラフィックを特定します。

hostname(config-cmap)# match access-list acl-name
 

ステップ 4 AIP SSM へのトラフィックの送信に使用するポリシーマップを作成するか、既存のポリシーマップを修正します。これを行うには、 policy-map コマンドを使用します。

hostname(config-cmap)# policy-map policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシーマップの名前を指定します。CLI はポリシーマップ コンフィギュレーション モードに移行し、それに応じてプロンプトが変化します。

ステップ 5 ステップ 2 で作成した、スキャンするトラフィックを特定するクラスマップを指定します。これを行うには、 class コマンドを次のように使用します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

class_map_name には、ステップ 2 で作成したクラスマップの名前を指定します。CLI はポリシーマップ クラス コンフィギュレーション モードに移行し、それに応じてプロンプトが変化します。

ステップ 6 クラスマップによって特定されているトラフィックを、AIP SSM に送信するトラフィックとして割り当てます。これを行うには、 ips コマンドを次のように使用します。

hostname(config-pmap-c)# ips {inline | promiscuous} {fail-close | fail-open}
 

inline キーワードおよび promiscuous キーワードは、AIP SSM の動作モードを制御します。 fail-close キーワードおよび fail-open キーワードは、AIP SSM が使用できない場合に適応型セキュリティ アプライアンスがトラフィックを処理する方法を制御します。動作モードと障害時の動作の詳細については、「AIP SSM について」を参照してください。

ステップ 7 service-policy コマンドを次のように使用して、ポリシーマップをグローバルに、または特定のインターフェイスに適用します。

hostname(config-pmap-c)# service-policy policy_map_name [global | interface interface_ID]
hostname(config)#
 

policy_map_name には、ステップ 4 で作成したポリシーマップを指定します。ポリシーマップをすべてのインターフェイスのトラフィックに適用する場合は、 global キーワードを使用します。ポリシーマップを特定のインターフェイスのトラフィックに適用する場合は、 interface interface_ID オプションを使用します。 interface_ID には、 nameif コマンドでインターフェイスに割り当てた名前を指定します。

グローバル ポリシーは 1 つしか適用できません。インターフェイスのグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで上書きできます。各インターフェイスには、ポリシーマップを 1 つだけ適用できます。

適応型セキュリティ アプライアンスは、指定内容に従ってトラフィックを AIP SSM に誘導し始めます。


 

次の例では、すべての IP トラフィックが AIP SSM に無差別モードで誘導され、何らかの理由で AIP SSM カードに障害が発生した場合にすべての IP トラフィックがブロックされます。

hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ids-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
 

AIP SSM へのセッションの接続とセットアップの実行

トラフィックを AIP SSM に誘導するように ASA 5500 シリーズ適応型セキュリティ アプライアンスを設定した後、AIP SSM にセッションを接続し、初期コンフィギュレーション用のセットアップ ユーティリティを実行します。


) (session 1 コマンドを使用して)適応型セキュリティ アプライアンスから SSM にセッションを接続することも、管理インターフェイスで SSH または Telnet を使用して SSM に直接接続することもできます。あるいは、ASDM を使用することもできます。


適応型セキュリティ アプライアンスから AIP SSM にセッションを接続するには、次の手順を実行します。


ステップ 1 session 1 コマンドを入力して、ASA 5500 シリーズ適応型セキュリティ アプライアンスから AIP SSM にセッションを接続します。

hostname# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.
 

ステップ 2 ユーザ名とパスワードを入力します。デフォルトのユーザ名とパスワードは、どちらも cisco です。


) 初めて AIP SSM にログインしたときに、デフォルト パスワードの変更を要求するプロンプトが表示されます。パスワードは 8 文字以上で、辞書に載っていない単語にする必要があります。


login: cisco
Password:
Last login: Fri Sep 2 06:21:20 from xxx.xxx.xxx.xxx
***NOTICE***
This product contains cryptographic features and is subject to United States
and local country laws governing import, export, transfer and use. Delivery
of Cisco cryptographic products does not imply third-party authority to import,
export, distribute or use encryption. Importers, exporters, distributors and
users are responsible for compliance with U.S. and local country laws. By using
this product you agree to comply with applicable laws and regulations. If you
are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to
export@cisco.com.
 
***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
AIP SSM#

) 上記のライセンスの注意が表示された場合(一部のソフトウェア バージョンでのみ表示されます)、AIP SSM でシグニチャ ファイルをアップグレードする必要がなければ、無視してかまいません。有効なライセンス キーがインストールされるまで、AIP SSM は現在のシグニチャ レベルで動作し続けます。ライセンス キーは後でインストールできます。ライセンス キーは、AIP SSM の現在の機能に影響を与えません。


ステップ 3 setup コマンドを入力して、AIP SSM の初期コンフィギュレーション用のセットアップ ユーティリティを実行します。

AIP SSM# setup
 

これで、侵入防御のために AIP SSM を設定する準備ができました。AIP SSM の設定情報については、次のマニュアルを参照してください。

Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface

Command Reference for Cisco Intrusion Prevention System


 

CSC SSM の管理

ここでは、次の項目について説明します。

「CSC SSM について」

「CSC SSM の準備」

「スキャンするトラフィックの指定」

「CSC SSM を通過する接続の制限」

「CSC SSM へのトラフィックの誘導」

CSC SSM について

ASA 5500 シリーズ適応型セキュリティ アプライアンスは、CSC SSM をサポートします。CSC SSM は、Content Security and Control ソフトウェアを実行します。CSC SSM により、ウイルス、スパイウェア、スパム、およびその他の不要トラフィックから保護されます。これは、FTP、HTTP、POP3、および SMTP トラフィックをスキャンすることで実現されます。そのためには、これらのトラフィックを CSC SSM に送信するように適応型セキュリティ アプライアンスを設定しておきます。

図19-1 は、次の構成のセキュリティ アプライアンスを通過するトラフィックのフローを示しています。

CSC SSM がインストール、設定されている。

どのトラフィックを SSM に誘導し、スキャンするかを指定するサービス ポリシーがある。

この例では、クライアントのネットワーク ユーザは、Web サイトにアクセスしているか、FTP サーバからファイルをダウンロードしているか、POP3 サーバから電子メールを取得している可能性があります。SMTP スキャンは、適応型セキュリティ アプライアンスによって保護された SMTP サーバに向けて外部から送信されたトラフィックをスキャンするように、適応型セキュリティ アプライアンスを設定する必要がある点で異なります。


) CSC SSM は、適応型セキュリティ アプライアンスで FTP 検査がイネーブルの場合に限り、FTP ファイル転送をスキャンします。デフォルトでは、FTP 検査はイネーブルです。


図19-1 CSC SSM でスキャンされるトラフィックのフロー

システムの設定と CSC SSM の監視には、ASDM を使用します。CSC SSM ソフトウェアのコンテンツ セキュリティ ポリシーに高度な設定を行うには、ASDM でリンクをクリックして、CSC SSM の Web ベース GUI にアクセスします。CSC SSM GUI の使用方法については、『 Cisco Content Security and Control SSM Administrator Guide 』を参照してください。


) ASDM と CSC SSM では、別個のパスワードが保持されています。それらのパスワードを同一にすることはできますが、2 つのパスワードのうち一方を変更しても、もう一方に影響することはありません。


ASDM を実行しているホストと適応型セキュリティ アプライアンスの間の接続は、適応型セキュリティ アプライアンスの管理ポートを通じて確立されます。CSC SSM GUI への接続は、SSM の管理ポートを通じて確立されます。これら 2 つの接続は CSC SSM の管理に必要であるため、ASDM を実行しているすべてのホストは適応型セキュリティ アプライアンスの管理ポートと SSM の管理ポートの両方の IP アドレスに到達できる必要があります。

図19-2 に、専用の管理ネットワークに接続されている CSC SSM を持つ適応型セキュリティ アプライアンスを示します。専用の管理ネットワークの使用は必須ではありませんが、使用することをお勧めします。図19-2 で特に重要な点は次のとおりです。

HTTP プロキシ サーバが内部ネットワークと管理ネットワークに接続されている。これにより、CSC SSM は Trend Micro アップデート サーバに接続できます。

適応型セキュリティ アプライアンスの管理ポートが管理ネットワークに接続されている。適応型セキュリティ アプライアンスと CSC SSM の管理を可能にするには、ASDM を実行しているホストは管理ネットワークに接続されている必要があります。

管理ネットワーク内には、CSC SSM への電子メール通知に使用される SMTP サーバと、CSC SSM が syslog メッセージを送信できる syslog サーバがある。

図19-2 管理ネットワークを備えた CSC SSM 構成

CSC SSM は、ステートフル フェールオーバーをサポートできません。これは、CSC SSM は接続情報を保持せず、ステートフル フェールオーバーに必要な情報をフェールオーバー装置に提供できないためです。CSC SSM でスキャン中の接続は、その CSC SSM がインストールされているセキュリティ アプライアンスに障害が発生するとドロップされます。スタンバイの適応型セキュリティ アプライアンスがアクティブになると、スキャンされるトラフィックは CSC SSM に転送され、接続はリセットされます。

CSC SSM の準備

CSC SSM のセキュリティ効果を得るには、SSM のハードウェア インストールだけでなく、他にもいくつかのステップを実行する必要があります。次の手順では、それらのステップの概要を示します。

適応型セキュリティ アプライアンスおよび CSC SSM を設定するには、次の手順を実行します。


ステップ 1 CSC SSM が Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスにプレインストールされていない場合は、インストールし、ネットワーク ケーブルを SSM の管理ポートに接続します。SSM のインストールと接続については、『 Cisco ASA 5500 Series Hardware Installation Guide 』を参照してください。

CSC SSM ソフトウェアの管理と自動アップデートを可能にするには、CSC SSM の管理ポートがネットワークに接続されている必要があります。また、CSC SSM は、電子メール通知と syslog ロギングにも管理ポートを使用します。

ステップ 2 CSC SSM には、Product Authorization Key(PAK)が付属しています。PAK を使用して、次の URL で CSC SSM を登録します。

http://www.cisco.com/go/license

登録すると、アクティベーション キーが電子メールで届きます。 ステップ 6 を完了するには、アクティベーション キーが必要です。

ステップ 3 ステップ 6 で必要となる次の情報を収集します。

ステップ 2 を完了した後に受信したアクティベーション キー

SSM 管理ポートの IP アドレス、ネットマスク、およびゲートウェイ IP アドレス


) SSM 管理ポートの IP アドレスは、ASDM の実行に使用するホストがアクセスできるものである必要があります。SSM 管理ポートの IP アドレスと適応型セキュリティ アプライアンス管理インターフェイスの IP アドレスは、異なるサブネットに属していてもかまいません。


DNS サーバの IP アドレス

HTTP プロキシ サーバの IP アドレス(セキュリティ ポリシーで、インターネットへの HTTP アクセスにプロキシ サーバの使用が求められている場合に限り必要)

SSM のドメイン名とホスト名

電子メール通知に使用する、電子メール アドレスおよび SMTP サーバの IP アドレスとポート番号

CSC SSM を管理できるホストまたはネットワークの IP アドレス

CSC SSM 用のパスワード

ステップ 4 Web ブラウザで、CSC SSM がインストールされている適応型セキュリティ アプライアンスの ASDM にアクセスします。


) 初めて ASDM にアクセスする場合は、『Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide』の Startup Wizard の説明を参照してください。


ASDM アクセスをイネーブルにする方法の詳細については、「ASDM の HTTPS アクセスの許可」を参照してください。

ステップ 5 適応型セキュリティ アプライアンス上の時刻設定を確認します。時刻設定が正確であることは、セキュリティ イベントのロギングや CSC SSM ソフトウェアの自動アップデートで重要です。

時刻設定を手動で制御する場合は、時間帯を含むクロック設定を確認します。 Configuration > Properties > Device Administration > Clock を選択します。

NTP を使用している場合は、NTP 設定を確認します。 Configuration > Properties > Device Administration > NTP を選択します。

ステップ 6 ASDM で、Content Security セットアップ ウィザードを実行します。これを行うには、サポートされる Web ブラウザで ASDM GUI にアクセスし、Home ページの Content Security タブをクリックします。Content Security セットアップ ウィザードが実行されます。Content Security セットアップ ウィザードについては、 Help ボタンをクリックしてください。


) 初めて ASDM にアクセスする場合は、『Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide』のスタートアップ ウィザードの説明を参照してください。


ステップ 7 ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、CSC SSM に誘導するトラフィックを特定します(「CSC SSM へのトラフィックの誘導」の説明を参照してください)。

ステップ 8 (オプション)CSC SSM GUI で、デフォルトのコンテンツ セキュリティ ポリシーを確認します。デフォルトのコンテンツ セキュリティ ポリシーは、ほとんどの実装に適しています。このポリシーの修正は高度な設定であるため、必ず『 Cisco Content Security and Control SSM Administrator Guide 』を読んでから実行してください。

コンテンツ セキュリティ ポリシーを確認するには、イネーブルになっている機能を CSC SSM GUI で表示します。使用できる機能は、購入したライセンス レベルによって異なります。デフォルトでは、購入したライセンスに含まれているすべての機能がイネーブルです。

基本ライセンスの場合、デフォルトでイネーブルになっている機能は、SMTP ウイルス スキャン、POP3 のウイルス スキャンとコンテンツ フィルタリング、Web メール ウイルス スキャン、HTTP ファイル ブロッキング、FTP のウイルス スキャンとファイル ブロッキング、および自動アップデートです。

Plus ライセンスのデフォルトでイネーブルになっている追加機能は、SMTP アンチスパム、SMTP コンテンツ フィルタリング、POP3 アンチスパム、URL ブロッキング、および URL フィルタリングです。

CSC SSM GUI にアクセスするには、ASDM で Configuration > Trend Micro Content Security を選択し、次のいずれかを選択します。 Web Mail File Transfer 、または Updates 。これらのペインにある、「Configure」という単語で始まる青色のリンクをクリックすると、CSC SSM GUI が開きます。


 

スキャンするトラフィックの指定

CSC SSM は、FTP、HTTP、POP3、および SMTP トラフィックをスキャンできます。これらのプロトコルは、接続要求パケットの宛先ポートがそのプロトコルの予約済みポートである場合に限りサポートされます。つまり、CSC SSM がスキャンできる接続は次のものに限られます。

TCP ポート 21 に対して開かれた FTP 接続

TCP ポート 80 に対して開かれた HTTP 接続

TCP ポート 110 に対して開かれた POP3 接続

TCP ポート 25 に対して開かれた SMTP 接続

これらすべてのプロトコルのトラフィックをスキャンすることも、任意の組み合せをスキャンすることもできます。たとえば、ネットワーク ユーザに POP3 電子メールの受信を許可しない場合に、POP3 トラフィックを CSC SSM に誘導するように適応型セキュリティ アプライアンスを設定する必要はありません(POP3 トラフィックをブロックするように設定できます)。

適応型セキュリティ アプライアンスと CSC SSM のパフォーマンスを最大化するには、CSC SSM でスキャンするトラフィックだけを CSC SSM に誘導します。信頼できる送信元と宛先の間のトラフィックなど、スキャンする必要のないトラフィックまでも誘導すると、ネットワーク パフォーマンスに悪影響を与える可能性があります。

CSC SSM でトラフィックをスキャンするアクションは、 csc コマンドを使用してイネーブルにします。このコマンドは、サービス ポリシーに含める必要があります。サービス ポリシーはグローバルに適用することも、特定のインターフェイスに適用することもできるため、 csc コマンドについても、グローバルにイネーブルにするか、特定のインターフェイスに対してイネーブルにするかを選択できます。

csc コマンドをグローバル ポリシーに追加した場合、適応型セキュリティ アプライアンスを通過する暗号化されていないすべての接続は、確実に CSC SSM でスキャンされます。ただし、信頼できる送信元からのトラフィックが不必要にスキャンされることになる場合もあります。

csc コマンドをインターフェイス固有のサービス ポリシーでイネーブルにした場合、このコマンドは双方向性を持ちます。つまり、適応型セキュリティ アプライアンスが新しい接続を開くとき、その接続の着信インターフェイスまたは発信インターフェイスのいずれかで csc コマンドがアクティブで、ポリシーのクラスマップでスキャン対象のトラフィックが特定されていれば、適応型セキュリティ アプライアンスはそのトラフィックを CSC SSM に誘導します。

ただし、双方向性があることにより、特定のインターフェイスを通過するサポート対象のトラフィック タイプを CSC SSM に誘導した場合に、信頼できる内部ネットワークからのトラフィックに対して CSC SSM が不必要なスキャンを実行することになる可能性があります。たとえば、DMZ ネットワークの Web サーバから要求された URL およびファイルが内部ネットワークのホストに対してコンテンツ セキュリティ リスクをもたらす可能性は低いため、そのようなトラフィックを適応型セキュリティ アプライアンスで CSC SSM に誘導する必要はほとんどありません。

したがって、アクセスリストを使用して、CSC SSM サービス ポリシーのクラスマップによって選択されたトラフィックをさらに制限することを強くお勧めします。特に、次の接続と一致するアクセスリストを使用することをお勧めします。

外部ネットワークへの HTTP 接続

適応型セキュリティ アプライアンスの内部のクライアントから適応型セキュリティ アプライアンスの外部のサーバへの FTP 接続

セキュリティ アプライアンスの内部のクライアントから適応型セキュリティ アプライアンスの外部のサーバへの POP3 接続

内部メール サーバを宛先とする着信 SMTP 接続

図19-3 では、適応型セキュリティ アプライアンスは、CSC SSM にトラフィックを誘導するように設定されています。内部ネットワークのクライアントから外部ネットワークへの HTTP、FTP、および POP3 接続要求、および外部ホストから DMZ ネットワークのメール サーバへの着信 SMTP 接続要求が誘導されます。内部ネットワークから DMZ ネットワークの Web サーバへの HTTP 要求はスキャンされません。

図19-3 CSC SSM スキャンの一般的なネットワーク構成

 

スキャンするトラフィックを特定するように適応型セキュリティ アプライアンスを設定する方法は多数あります。その 1 つは、内部インターフェイスに対するサービス ポリシーと外部インターフェイスに対するサービス ポリシーの 2 つのサービス ポリシーを定義することです。各サービス ポリシーには、スキャンするトラフィックと一致するアクセスリストを含めます。内部インターフェイスに適用するポリシーでは、次のアクセスリストを使用できます。

access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 21
access-list csc_out deny tcp 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 eq 80
access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 80
access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 110
 

前述のとおり、 csc コマンドを特定のインターフェイスに適用するポリシーは入力トラフィックと出力トラフィックの両方に対して有効ですが、csc_out アクセスリストで 192.168.10.0 を送信元ネットワークとして指定することにより、内部インターフェイスに適用されたポリシーは、内部ネットワークのホストによって開始された接続のみと一致するようになります。アクセスリストの 2 つ目の ACE では、 deny キーワードが使用されています。この ACE は、192.168.10.0 ネットワークから 192.168.20.0 ネットワークの TCP ポート 80 に送信されたトラフィックを適応型セキュリティ アプライアンスがブロックするという意味では ありません 。これは単に、このトラフィックをポリシーマップによる照合から免除することで、適応型セキュリティ アプライアンスがこのトラフィックを CSC SSM に送信できないようにするという意味です。

アクセスリストで deny 文を使用すると、信頼できる外部ホストとの接続をスキャンから免除できます。たとえば、CSC SSM の負荷を軽減するために、既知の信頼できるサイトへの HTTP トラフィックを免除できます。そのようなサイトにある Web サーバが IP アドレス 209.165.201.7 を持つ場合、次の ACE を csc_out アクセスリストに追加すると、信頼できる外部 Web サーバと内部ホストの間の HTTP 接続を CSC SSM によるスキャンから除外できます。

access-list csc_out deny tcp 192.168.10.0 255.255.255.0 209.165.201.7 255.255.255.255 eq 80
 

この例の 2 つ目のポリシー(外部インターフェイスに適用される)は、次のアクセスリストを使用します。

access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 25
 

このアクセスリストは、任意の外部ホストから DMZ ネットワークの任意のホストへの着信 SMTP 接続を照合します。したがって、外部インターフェイスに適用されるポリシーにより、着信 SMTP 電子メールは確実に CSC SSM に誘導され、スキャンされます。内部ネットワークのホストから DMZ ネットワークのメール サーバへの SMTP 接続は、外部インターフェイスを使用しないため照合されません。

DMZ ネットワークの Web サーバが、外部ホストから HTTP でアップロードされたファイルを受信する場合、次の ACE を csc_in アクセスリストに追加すると、CSC SSM を使用して Web サーバを感染ファイルから保護できます。

access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 80
 

この項のアクセスリストを使用するサービス ポリシー コンフィギュレーションの完全な例については、例19-1 を参照してください。

CSC SSM を通過する接続の制限

適応型セキュリティ アプライアンスは、CSC SSMと、CSC SSM がスキャンする接続の宛先が必要以上の接続要求を受け入れないようにできます。さらには、受信しないようにすることもできます。これは、初期接続に対しても、完全に確立された接続に対しても可能です。また、class-map 制限および per-client 制限に含まれているすべてのクライアントに対して制限値を指定することもできます。初期接続または完全に確立された接続に対する制限を設定するには、 set connection コマンドを使用します。

また、class-map 制限および per-client 制限に含まれているすべてのクライアントに対して制限値を指定することもできます。 per-client-embryonic-max パラメータおよび per-client-max パラメータは、個々のクライアントが開くことのできる接続の最大数を制限します。あるクライアントが必要以上のネットワーク リソースを同時に使用する場合、これらのパラメータを使用すると、適応型セキュリティ アプライアンスが各クライアントに許可する接続数を制限できます。

DoS 攻撃(サービス拒絶攻撃)の目的は、接続や接続要求で主要ホストの容量を圧迫することにより、ネットワークを混乱させることです。 set connection コマンドは、DoS 攻撃を阻止するために使用できます。攻撃対象となる可能性のあるホストがサポートできる per-client 最大値を設定すると、悪意のあるクライアントは、保護されたネットワークのホストを圧迫できなくなります。

set connection コマンドを使用して、CSC SSM と、CSC SSM がスキャンする接続の宛先を保護する方法については、「CSC SSM へのトラフィックの誘導」を参照してください。

CSC SSM へのトラフィックの誘導

トラフィックを CSC SSM に誘導するように適応型セキュリティ アプライアンスを設定するには、MPF コマンドを使用します。その設定を適応型セキュリティ アプライアンスに行う前に、「モジュラ ポリシー フレームワークの使用」をお読みください。MPF の概念と一般的なコマンドの概要が説明されています。

適応型セキュリティ アプライアンスから CSC SSM に誘導するトラフィックを特定するには、次の手順を実行します。


ステップ 1 CSC SSM でスキャンするトラフィックと一致するアクセスリストを作成します。これを行うには、 access-list extended コマンドを使用します。すべてのトラフィックを一致させるのに必要な数の ACE を作成します。たとえば、FTP、HTTP、POP3、および SMTP トラフィックを指定する場合、4 つの ACE が必要です。スキャンするトラフィックを特定する方法については、「スキャンするトラフィックの指定」を参照してください。

ステップ 2 CSC SSM に誘導するトラフィックを特定するクラスマップを作成します。これを行うには、 class-map コマンドを次のように使用します。

hostname(config)# class-map class_map_name
hostname(config-cmap)#
 

class_map_name には、トラフィック クラスの名前を指定します。 class-map コマンドを入力すると、CLI はクラスマップ コンフィギュレーション モードに移行します。

ステップ 3 match access-list コマンドを ステップ 1 で作成したアクセスリストとともに使用して、スキャンするトラフィックを特定します。

hostname(config-cmap)# match access-list acl-name
 

ステップ 4 CSC SSM へのトラフィックの送信に使用するポリシーマップを作成するか、既存のポリシーマップを修正します。これを行うには、 policy-map コマンドを使用します。

hostname(config-cmap)# policy-map policy_map_name
hostname(config-pmap)#
 

policy_map_name には、ポリシーマップの名前を指定します。CLI はポリシーマップ コンフィギュレーション モードに移行し、それに応じてプロンプトが変化します。

ステップ 5 ステップ 2 で作成した、スキャンするトラフィックを特定するクラスマップを指定します。これを行うには、 class コマンドを次のように使用します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

class_map_name には、ステップ 2 で作成したクラスマップの名前を指定します。CLI はポリシーマップ クラス コンフィギュレーション モードに移行し、それに応じてプロンプトが変化します。

ステップ 6 適応型セキュリティ アプライアンスが CSC SSM に誘導する同時接続の per-client 制限を適用する場合は、 set connection コマンドを次のように設定します。

hostname(config-pmap-c)# set connection per-client-max n
 

n には、適応型セキュリティ アプライアンスがクライアントごとに許可する最大同時接続数を指定します。これを指定すると、1 つのクライアントが CSC SSM のサービスや SSM で保護されたサーバを必要以上に使用することはできなくなります。また、CSC SSM が保護する HTTP、FTP、POP3、および SMTP の各サーバに対する DoS 攻撃の試みも阻止されます。

ステップ 7 クラスマップによって特定されているトラフィックを、CSC SSM に送信されるトラフィックとして割り当てます。これを行うには、 csc コマンドを次のように使用します。

hostname(config-pmap-c)# csc {fail-close | fail-open}
 

fail-close キーワードおよび fail-open キーワードは、CSC SSM が使用できない場合に適応型セキュリティ アプライアンスがトラフィックを処理する方法を制御します。動作モードと障害時の動作の詳細については、「CSC SSM について」を参照してください。

ステップ 8 service-policy コマンドを次のように使用して、ポリシーマップをグローバルに、または特定のインターフェイスに適用します。

hostname(config-pmap-c)# service-policy policy_map_name [global | interface interface_ID]
hostname(config)#
 

policy_map_name には、ステップ 4 で作成したポリシーマップを指定します。ポリシーマップをすべてのインターフェイスのトラフィックに適用する場合は、 global キーワードを使用します。ポリシーマップを特定のインターフェイスのトラフィックに適用する場合は、 interface interface_ID オプションを使用します。 interface_ID には、 nameif コマンドでインターフェイスに割り当てた名前を指定します。

グローバル ポリシーは 1 つしか適用できません。インターフェイスのグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで上書きできます。各インターフェイスには、ポリシーマップを 1 つだけ適用できます。

適応型セキュリティ アプライアンスは、指定内容に従ってトラフィックを CSC SSM に誘導し始めます。


 

例19-1 は、図19-3 で示したネットワークに基づいています。この例では、2 つのサービス ポリシーが作成されています。1 つ目のポリシーの csc_out_policy は、内部インターフェイスに適用されるもので、csc_out アクセスリストを使用して、すべての発信 FTP 要求および発信 POP3 要求がスキャンされることを確実にします。csc_out アクセスリストも、内部から外部インターフェイス上のネットワークへの HTTP 接続がスキャンされることを確実にしますが、deny ACE が含まれているため、内部から DMZ ネットワークのサーバへの HTTP 接続は除外されます。

2 つ目のポリシーの csc_in_policy は、外部インターフェイスに適用されるもので、csc_in アクセスリストを使用して、外部インターフェイスで発信され、DMZ ネットワークを宛先とする SMTP 要求および HTTP 要求が CSC SSM でスキャンされることを確実にします。HTTP 要求のスキャンにより、Web サーバは HTTP ファイルのアップロードから保護されます。

例19-1 一般的な CSC SSM スキャン シナリオのサービス ポリシー

hostname(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 21

hostname(config)# access-list csc_out deny tcp 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 eq 80

hostname(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 80

hostname(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 110

 

hostname(config)# class-map csc_outbound_class

hostname(config-cmap)# match access-list csc_out

 

hostname(config)# policy-map csc_out_policy

hostname(config-pmap)# class csc_outbound_class

hostname(config-pmap-c)# csc fail-close

 

hostname(config)# service-policy csc_out_policy interface inside

 

hostname(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 25

hostname(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 80

 

hostname(config)# class-map csc_inbound_class

hostname(config-cmap)# match access-list csc_in

 

hostname(config)# policy-map csc_in_policy

hostname(config-pmap)# class csc_inbound_class

hostname(config-pmap-c)# csc fail-close

 

hostname(config)# service-policy csc_in_policy interface outside

 


) FTP で転送されるファイルをスキャンするには、FTP 検査が CSC SSM に対してイネーブルになっている必要があります。デフォルトでは、FTP 検査はイネーブルです。


SSM ステータスのチェック

SSM のステータスをチェックするには、 show module コマンドを使用します。

次に示す出力例は、CSC SSM がインストールされた適応型セキュリティ アプライアンスからのものです。Status フィールドには、SSM の動作ステータスが示されています。正常に動作している SSM は、 show module コマンドの出力で「Up」というステータスで示されます。適応型セキュリティ アプライアンスがアプリケーション イメージを SSM に転送している間は、出力の Status フィールドに「Recover」と示されます。各種ステータスの詳細については、『 Cisco Security Appliance Command Reference 』の show module コマンドの項を参照してください。

 

hostname# show module 1

Mod Card Type Model Serial No.

--- -------------------------------------------- ------------------ -----------

1 ASA 5500 Series Security Services Module-20 ASA-SSM-20 JAB100301NE

 

Mod MAC Address Range Hw Version Fw Version Sw Version

--- --------------------------------- ------------ ------------ ---------------

1 0015.c6fa.2c0f to 0015.c6fa.2c0f 1.0 1.0(10)0 CSC SSM 6.0 (Build#1349)

 

Mod SSM Application Name Status SSM Application Version

--- ------------------------------ ---------------- --------------------------

1 CSC SSM Down 6.0 (Build#1349)

 

Mod Status Data Plane Status Compatibility

--- ------------------ --------------------- -------------

1 Up Up

 

コマンドの末尾の引数 1 は、SSM 専用のスロット番号です。スロット番号がわからない場合は、それを省略すると、適応型セキュリティ アプライアンスを含むすべてのモジュールの情報が表示されます。適応型セキュリティ アプライアンス専用のスロットは、スロット 0(ゼロ)であると見なされます。

details キーワードを使用すると、SSM の追加情報を表示できます。

次に示す出力例は、CSC SSM がインストールされた適応型セキュリティ アプライアンスからのものです。

hostname# show module 1 details
Getting details from the Service Module, please wait...
ASA 5500 Series Security Services Module-20
Model: ASA-SSM-20
Hardware version: 1.0
Serial Number: JAB100301NE
Firmware version: 1.0(10)0
Software version: CSC SSM 6.0 (Build#1349)
MAC Address Range: 0015.c6fa.2c0f to 0015.c6fa.2c0f
App. name: CSC SSM
App. Status: Up
App. Status Desc: CSC SSM scan services are available
App. version: 6.0 (Build#1349)
Data plane Status: Up
Status: Up
HTTP Service: Up
Mail Service: Up
FTP Service: Up
Activated: Yes
Mgmt IP addr: 10.23.62.92
Mgmt web port: 8443
Peer IP addr: <not enabled>
 

SSM へのイメージの転送

AIP SSM や CSC SSM などのインテリジェント SSM の場合、アプリケーション イメージを TFTP サーバから SSM に転送できます。このプロセスでは、アップグレード イメージと保守イメージがサポートされます。


) SSM のアプリケーションをアップグレードする場合、SSM アプリケーションによっては、コンフィギュレーションのバックアップがサポートされることがあります。SSM アプリケーションのコンフィギュレーションをバックアップしないと、イメージを SSM に転送したときにコンフィギュレーションは失われます。SSM によるバックアップのサポートの詳細については、ご使用の SSM のマニュアルを参照してください。


イメージをインテリジェント SSM に転送するには、次の手順を実行します。


ステップ 1 SSM のリカバリ コンフィギュレーションを作成または修正します。これを行うには、次の手順を実行します。

a. SSM のリカバリ コンフィギュレーションが存在するかどうかを確認します。これを行うには、 show module コマンドを recover キーワードとともに次のように使用します。

hostname# show module slot recover
 

slot には、SSM 専用のスロット番号を指定します。

recover キーワードが無効な場合、リカバリ コンフィギュレーションは存在しません。 show module コマンドの recover キーワードは、SSM のリカバリ コンフィギュレーションが存在する場合に限り使用できます。


) 適応型セキュリティ アプライアンスがマルチコンテキスト モードで動作している場合、configure キーワードは、システム コンテキストのみで使用できます。


SSM のリカバリ コンフィギュレーションが存在する場合、適応型セキュリティ アプライアンスはそれを表示します。リカバリ コンフィギュレーションをよく調べて、正しいことを確認します。特に、Image URL フィールドについて確認します。次の例は、スロット 1 の SSM のリカバリ コンフィギュレーションを示しています。

hostname# show module 1 recover
Module 1 recover parameters. . .
Boot Recovery Image: Yes
Image URL: tftp://10.21.18.1/csc-img
Port IP Address: 10.1.2.10
Port Mask : 255.255.255.0
Gateway IP Address: 10.1.2.254
 

b. リカバリ コンフィギュレーションを作成または修正する必要がある場合は、 hw-module module recover コマンドを configure キーワードとともに次のように使用します。

hostname# hw-module module slot recover configure
 

slot には、SSM 専用のスロット番号を指定します。

プロンプトへの応答を必要に応じて完了します。コンフィギュレーションを修正する場合は、 Enter キーを押すと、以前に設定した値を保持できます。これらのプロンプトの例を次に示します。これらのプロンプトの詳細については、『 Cisco Security Appliance Command Reference 』の hw-module module recover コマンドの項を参照してください。

Image URL [tftp://0.0.0.0/]:
Port IP Address [0.0.0.0]:
VLAN ID [0]:
Gateway IP Address [0.0.0.0]:
 

) 指定する TFTP サーバが最大 60 MB のファイルを転送できることを確認してください。また、SSM の管理ポート IP アドレスとして指定した IP アドレスに TFTP が接続できることも確認してください。


プロンプトへの応答が完了すると、適応型セキュリティ アプライアンスが指定の URL で検出したイメージを SSM に転送する準備が整います。

ステップ 2 TFTP サーバから SSM にイメージを転送し、SSM を再起動します。これを行うには、 hw-module module recover コマンドを boot キーワードとともに次のように使用します。

hostname# hw-module module slot recover boot
 

slot には、SSM 専用のスロット番号を指定します。

ステップ 3 イメージ転送の進捗と SSM の再起動プロセスを確認します。これを行うには、 show module コマンドを使用します。詳細については、「SSM ステータスのチェック」を参照してください。

適応型セキュリティ アプライアンスがイメージの転送と SSM の再起動を完了すると、SSM は、新しく転送されたイメージを実行します。


) ご使用の SSM がコンフィギュレーションのバックアップをサポートしていて、SSM で実行しているアプリケーションのコンフィギュレーションを復元する必要がある場合の詳細については、その SSM のマニュアルを参照してください。