Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
Cisco ASA 5500 シリーズ の概要
Cisco ASA 5500 シリーズの概要
発行日;2012/05/10 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

Cisco ASA 5500 シリーズの概要

ハードウェアとソフトウェアの互換性の確認

VPN 仕様

新機能

バージョン 8.4(2) の新機能

バージョン 8.4(1) の新機能

ファイアウォール機能の概要

セキュリティ ポリシーの概要

アクセス リストによるトラフィックの許可または拒否

NAT の適用

IP フラグメントからの保護

通過トラフィックに対する AAA の使用

HTTP、HTTPS、または FTP フィルタリングの適用

アプリケーション インスペクションの適用

IPS モジュールへのトラフィックの送信

Content Security and Control モジュールへのトラフィック送信

QoS ポリシーの適用

接続の制限と TCP 正規化の適用

脅威検出のイネーブル化

ボットネット トラフィック フィルタのイネーブル化

Cisco Unified Communications の設定

ファイアウォール モードの概要

ステートフル インスペクションの概要

VPN 機能の概要

セキュリティ コンテキストの概要

Cisco ASA 5500 シリーズの概要

ASA は、1 台のデバイスを使用した高度なステートフル ファイアウォールおよび VPN コンセントレータ 機能を提供します。また、一部のモデルには、統合 Intrusion Prevention System(IPS; 侵入防止システム)モジュールまたは統合 Content Security and Control(CSC)モジュールを提供します。ASA の多数の高度な機能には、マルチ セキュリティ コンテキスト(仮想ファイアウォールに類似)、トランスペアレント(レイヤ 2)ファイアウォール動作またはルーテッド(レイヤ 3)ファイアウォール動作、高度なインスペクション エンジン、IPsec VPN、SSL VPN、およびクライアントレス SSL VPN のサポート、その他の機能があります。

この章は、次の項で構成されています。

「ハードウェアとソフトウェアの互換性の確認」

「VPN 仕様」

「新機能」

「ファイアウォール機能の概要」

「VPN 機能の概要」

「セキュリティ コンテキストの概要」

ハードウェアとソフトウェアの互換性の確認

サポートされるハードウェアおよびソフトウェアの詳細なリストについては、『 Cisco ASA 5500 Series Hardware and Software Compatibility 』を参照してください。

http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html

VPN 仕様

Supported VPN Platforms, Cisco ASA 5500 Series 』を参照してください。

http://www.cisco.com/en/US/docs/security/asa/compatibility/asa-vpn-compatibility.html

新機能

この項は、次の内容で構成されています。

「バージョン 8.4(2) の新機能」

「バージョン 8.4(1) の新機能」


) 新しい、変更された、または廃止された syslog メッセージの一覧は、『Cisco ASA 5500 Series System Log Messagess』に記載されています。


バージョン 8.4(2) の新機能

表 1-1 に ASA バージョン 8.4(2) の新機能を示します。

 

表 1-1 ASA バージョン 8.4(2)の新機能

機能
説明
ファイアウォール機能

アイデンティティ ファイアウォール

一般に、ファイアウォールはユーザのアイデンティティを認識していないため、アイデンティティに基づくセキュリティ ポリシーを適用することはできません。

ASA のアイデンティティ ファイアウォールでは、ユーザのアイデンティティに基づく細分性の高いアクセス コントロールが可能です。送信元 IP アドレスではなくユーザ名とユーザ グループ名に基づいてアクセス ルールとセキュリティ ポリシーを設定できます。ASA は、IP アドレスと Windows Active Directory のログイン情報の関連付けに基づいてセキュリティ ポリシーを適用し、ネットワーク IP アドレスではなくマッピングされたユーザ名を使用してイベントを報告します。

アイデンティティ ファイアウォールは、実際のアイデンティティ マッピングを提供する外部 Active Directory(AD)エージェントとの連携により、Microsoft Active Directory と統合されます。ASA は、Windows Active Directory から特定の IP アドレスに対応する現在のユーザ アイデンティティ情報を取得します。

企業では、ユーザによっては、Web ポータル(カットスルー プロキシ)による認証や VPN を使用した認証など、通常とは異なる認証メカニズムを使用してネットワークにログオンする場合があります。これらの認証方式がアイデンティティに基づくアクセス ポリシーと連携できるようにアイデンティティ ファイアウォールを設定することができます。

user-identity enable user-identity default-domain user-identity domain user-identity logout-probe user-identity inactive-user-timer user-identity poll-import-user-group-timer user-identity action netbios-response-fail user-identity user-not-found user-identity action ad-agent-down user-identity action mac-address-mismatch user-identity action domain-controller-down user-identity ad-agent active-user-database user-identity ad-agent hello-timer user-identity ad-agent aaa-server user-identity update import-user user-identity static user ad-agent-mode dns domain-lookup dns poll-timer dns expire-entry-timer object-group user、show user-identity、show dns clear configure user-identity clear dns、debug user-identity、test aaa-server ad-agent の各コマンドが導入または変更されました。

アイデンティティ NAT の設定が可能なプロキシ ARP およびルート ルックアップ

アイデンティティ NAT の以前のリリースでは、プロキシ ARP はディセーブルにされ、出力インターフェイスの決定には常にルート ルックアップが使用されていました。これらを設定することはできませんでした。8.4(2) 以降、アイデンティティ NAT のデフォルト動作は他のスタティック NAT コンフィギュレーションの動作に一致するように変更されました。これにより、デフォルトでプロキシ ARP はイネーブルにされ、NAT コンフィギュレーションにより出力インターフェイスが決定されるようになりました(指定されている場合)。これらの設定をそのままにすることもできますし、個別にイネーブルまたはディセーブルにすることもできます。通常のスタティック NAT のプロキシ ARP をディセーブルにすることもできるようになっています。

8.3 以前の設定に対応するため、NAT 免除ルール( nat 0 access-list コマンド)から 8.4(2) 以降への移行において、プロキシ ARP をディセーブルにしてルート ルックアップを使用するためのキーワード( no-proxy-arp および route-lookup )が含まれています。8.3(2) から 8.4(1) への移行に使用していた unidirectional キーワードは、現在、移行には使用しません。8.3(1)、8.3(2)、8.4(1) から 8.4(2) にアップグレードすると、既存機能を保持するため、すべてのアイデンティティ NAT コンフィギュレーションに no-proxy-arp キーワードと route-lookup キーワードが含まれるようになっています。 unidirectional キーワードは削除されました。

nat static [ no-proxy-arp ] [ route-lookup ] (object network) および nat source static [ no-proxy-arp ] [ route-lookup ] (global) の各コマンドが変更されました。

PAT プールおよびラウンド ロビン アドレス割り当て

1 つのアドレスの代わりに、PAT アドレスのプールを指定できるようになりました。PAT アドレスのすべてのポートを使用してからプール内の次のアドレスを使用するのではなく、必要に応じて、PAT アドレスのラウンドロビン割り当てをイネーブルにすることもできます。これらの機能は、1 つの PAT アドレスで多数の接続を行っている場合にそれが DoS 攻撃の対象となることを防止するのに役立ちます。またこの機能により、多数の PAT アドレスを簡単に設定できます。

(注) 現在の 8.4(2) では、PAT プール機能をダイナミック NAT または PAT のフォールバック方式として使用することはできません。PAT プールは、ダイナミック PAT のプライマリ方式(CSCtq20634)としてのみ設定できます。

nat dynamic [ pat-pool mapped_object [ round-robin ]] (object network) および nat source dynamic [ pat-pool mapped_object [ round-robin ]] (global) の各コマンドが変更されました。

IPv6 インスペクション

MPF ルールを使用して IPv6 インスペクションを設定し、拡張ヘッダーに基づいて IPv6 トラフィックを選択的にブロックできます。IPv6 パケットに対しては、早期セキュリティ チェックが実行されます。ASA は、ルータ ヘッダーと次ヘッダーの検出なしオプションはブロックしますが、拡張ヘッダーのホップバイホップおよび終点のオプション タイプは必ず渡します。

デフォルトの IPv6 インスペクションをイネーブルにするか、または IPv6 インスペクションを定義できます。IPv6 インスペクションに使用する MPF ポリシー マップを定義することで、IPv6 パケット内で検出された次のタイプの拡張ヘッダーに基づいて IPv6 パケットを選択的にドロップするように ASA を設定することができます。

ホップバイホップ オプション

ルーティング(タイプ 0)

フラグメント

終点オプション

認証

暗号ペイロード

ipv6 access-list コマンドが追加されました。

次のコマンドが変更されました。

policy-map type inspect ipv6

verify-header { type | order }

match header {hop-by-hop | destination-option | fragment | esp | ah }

match header routing-type { eq type | range low_type high_type }

match header routing-address count gt number

match header count gt count

リモート アクセス機能

ポータル アクセス ルール

この拡張機能により、カスタマーは、HTTP ヘッダー内に存在するデータに基づいて、クライアントレス SSL VPN セッションを許可または拒否するグローバルなクライアントレス SSL VPN アクセス ポリシーを設定することができます。拒否されると、クライアントにはエラー コードが返されます。この拒否はユーザ認証の前に行われるため、処理リソースの使用を最小限に抑えることができます。

webvpn portal-access-rule コマンドが変更されました。

ASDM では、コマンドは [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Portal Access Rules] に表示されます。

バージョン 8.2(5) でも使用可能です。

Microsoft Outlook Web App 2010 のクライアントレス サポート

ASA 8.4(2) クライアントレス SSL VPN コア リライタは、Microsoft Outlook Web App 2010 をサポートするようになりました。

IPsec IKEv2 完全性および PRF の Secure Hash Algorithm SHA-2 サポート

このリリースでは、IPsec/IKEv2 AnyConnect Secure Mobility Client から ASA に接続するときの、機能が高められた暗号学的ハッシュハッシュ セキュリティに対応した Secure Hash Algorithm SHA-2 をサポートしています。米国政府の要請に基づき、SHA-2 には 256、384、または 512 ビットのダイジェストを生成するハッシュ機能が実装されています。

integrity prf、show crypto ikev2 sa detail show vpn-sessiondb detail remote の各コマンドが変更されました。

IPsec IKEv2 デジタル署名の Secure Hash Algorithm SHA-2 サポート

このリリースは、デジタル証明書を使用する IPsec IKEv2 VPN 接続の認証における SHA-2 準拠の署名アルゴリズムをサポートします。ハッシュ サイズは SHA-256、SHA-384、SHA-512 です。

IPsec IKEv2 接続の SHA-2 デジタル署名は、AnyConnect Secure Mobility Client バージョン 3.0.1 以降でサポートされています。

AnyConnect のスプリット トンネル DNS ポリシー

このリリースには、スプリット トンネル上で DNS アドレスを解決するために AnyConnect Secure Mobility Client に配信される新しいポリシーが実装されています。このポリシーは、SSL または IPsec/IKEv2 プロトコルを使用して VPN 接続に適用され、VPN トンネル経由ですべての DNS アドレスを解決するように AnyConnect Client に指示します。DNS 解決に失敗すると、アドレスは未解決のまま残ります。AnyConnect Client は、パブリック DNS サーバ経由でアドレスを解決しようとはしません。

デフォルトでは、この機能はディセーブルになっています。クライアントは、スプリット トンネル ポリシーに従って、トンネル経由で DNS クエリーを送信します(すべてのネットワークをトンネル、ネットワーク リストに指定されたネットワークをトンネル、ネットワーク リストに指定されたネットワークを除く、など)。

split-tunnel-all-dns コマンドが導入されました。

バージョン 8.2(5) でも使用可能です。

AnyConnect Identification Extensions(モバイル デバイス検出用)

ダイナミック アクセス ポリシー(DAP)単位で、AnyConnect Essentials ライセンスを使用するエンドポイントからの VPN 接続を許可または拒否するように設定できるようになりました。この機能をサポートするモバイル プラットフォームは、iPhone/iPad/iPod 対応 AnyConnect バージョン 2.5.x および Android 対応 AnyConnect バージョン 2.4.x です。ASDM 経由でこれらの特定の属性を設定するために CSD をイネーブルにする必要はありません。

バージョン 8.2(5) でも使用可能です。

SSL SHA-2 デジタル署名

デジタル証明書を使用する SSL VPN 接続の認証における SHA-2 準拠の署名アルゴリズムを使用できるようになりました。シスコの SHA-2 サポートは、SHA-256、SHA-384、SHA-512 という 3 つのハッシュ サイズすべてを対象とします。SHA-2 には AnyConnect 2.5(1) 以降(2.5(2) 以降を推奨)が必要です。このリリースは、他の使用または製品では SHA-2 をサポートしません。

注意:SHA-2 接続のフェールオーバーをサポートするためには、スタンバイ ASA も同じイメージを実行している必要があります。

show crypto ca certificate コマンドが変更されました(Signature Algorithm フィールドで、署名の生成に使用されるダイジェスト アルゴリズムを指定します)。

バージョン 8.2(5) でも使用可能です。

Microsoft Windows 7 および Android ネイティブ VPN クライアントの SHA2 証明書署名のサポート

ASA は、L2TP/IPsec プロトコルを使用する Microsoft Windows 7 および Android ネイティブ VPN クライアント用に SHA2 証明書の署名をサポートします。

変更されたコマンドはありません。

バージョン 8.2(5) でも使用可能です。

group-url 属性を上書きする証明書マッピングのイネーブル/ディセーブル化

この機能は、接続プロファイルの選択プロセスにおける接続プロファイルのプリファレンスを変更します。デフォルトで、ASA が接続プロファイルに指定された証明書フィールド値をエンドポイントが使用する証明書のフィールド値と照合する場合に、ASA はこのプロファイルを VPN 接続に割り当てます。このオプションの機能により、エンドポイントが要求したグループ URL を指定する接続プロファイルに対するプリファレンスが変更されます。この新しいオプションを使用することで、管理者は、多数の以前の ASA ソフトウェア リリースで使用されるグループ URL プリファレンスを信用できます。

tunnel-group-preference コマンドが導入されました。

バージョン 8.2(5) でも使用可能です。

ASA 5585-X 機能

SSP-40 および SSP-60 対応のデュアル SSP のサポート

SSP-40 および SSP-60 の場合、同じシャーシでレベルが同じ 2 つの SSP を使用できます。レベルが混在した SSP はサポートされていません(たとえば、SSP-40 と SSP-60 の組み合わせはサポートされていません)。各 SSP は、個別の設定および管理で独立したデバイスとして機能します。必要に応じて 2 つの SSP をフェールオーバー ペアとして使用できます。

(注) シャーシで 2 つの SSP を使用する場合、VPN がサポートされていません。ただし、VPN はディセーブルになっていません。

show module show inventory show environment の各コマンドが変更されました。

IPS SSP-10、-20、-40、および -60 のサポート

ASA 5585-X 対応の IPS SSP-10、-20、-40、および -60 のサポートが導入されました。IPS SSP をインストールできるのは、SSP のレベルが一致する場合だけです(たとえば、SSP-10 と IPS SSP-10)。

バージョン 8.2(5) でも使用可能です。

CSC SSM 機能

CSC SSM サポート

CSC SSM では、次の機能のサポートが追加されました。

HTTPS トラフィック リダイレクト:着信 HTTPS 接続での URL フィルタリングおよび WRS クエリー。

着信および発信 SMTP/POP3 電子メールに使用する、承認されたグローバルなホワイトリスト。

製品ライセンス更新の電子メール通知。

変更されたコマンドはありません。

モニタリング機能

Smart Call Home Anonymous Reporting

お客様は Anonymous Reporting をイネーブルにして、ASA プラットフォームを改善することができるようになりました。Anonymous Reporting により、シスコは最小エラーおよびヘルス情報を、デバイスからセキュアに受信できます。

call-home reporting anonymous、call-home test reporting anonymous の各コマンドが導入されました。

バージョン 8.2(5) でも使用可能です。

IF-MIB ifAlias OID のサポート

ASA で、ifAlias OID をサポートするようになりました。IF-MIB をブラウズする際、fAlias OID はインターフェイスの記述に設定済みの値に設定されます。

バージョン 8.2(5) でも使用可能です。

インターフェイス機能

1 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

1 ギガビット イーサネット インターフェイスでフロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。このサポートは、以前、8.2(2) のときに 10 ギガビット イーサネット インターフェイスに追加されています。

lowcontrol コマンドが変更されました。

バージョン 8.2(5) でも使用可能です。

管理機能

SSH セキュリティの向上。SSH のデフォルトのユーザ名はサポートされなくなりました

8.4(2)から、 pix または asa ユーザ名とログイン パスワードで SSH を使用して ASA に接続することができなくなりました。SSH を使用するためには、 aaa authentication ssh console LOCAL コマンド(CLI)または[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication (ASDM)] を使用して設定してから、 username コマンド(CLI)を入力するか [Configuration] > [Device Management] > [Users/AAA] > [User Accounts (ASDM)] を選択してローカル ユーザを定義する必要があります。ローカル データベースの代わりに AAA サーバを認証に使用する場合、ローカル認証もバックアップの手段として設定しておくことをお勧めします。

ユニファイド コミュニケーション機能

H.323 インスペクションとの ASA-Tandberg 相互運用性

H.323 インスペクションでは、双方向ビデオ セッションでの単一方向シグナリングをサポートするようになりました。この機能拡張により、一方向のビデオ会議での H.323 インスペクションが Tandberg ビデオ電話によってサポートされます。単一方向のシグナリングがサポートされることで、Tandberg 電話がビデオ モードを切り替えることができるようになります(H.263 ビデオ セッションの側を閉じる、H.264 を使用してセッションを再び開く、ハイビジョン ビデオの圧縮標準)。

変更されたコマンドはありません。

バージョン 8.2(5) でも使用可能です。

 

バージョン 8.4(1) の新機能

表 1-2 に ASA バージョン 8.4(1) の新機能を示します。

 

表 1-2 ASA バージョン 8.4(1) の新機能

機能
説明
ハードウェアの機能

ASA 5585-X のサポート

Security Services Processor(SSP; セキュリティ サービス プロセッサ)-10、-20、-40、および -60 で ASA 5585-X のサポートを導入しました。

(注) このサポートは 8.2(3) と 8.2(4) で追加されていました。8.3(x) では、ASA 5585-X はサポートされていません。

輸出用のペイロード暗号化なしハードウェア

ASA 5585-X のペイロード暗号化なしモデルを購入いただけます。輸出先の国によっては、Cisco ASA 5500 シリーズでペイロード暗号化をイネーブルにできません。ASA ソフトウェアは、ペイロード暗号化なしモデルを検出し、次の機能をディセーブルにします。

ユニファイド コミュニケーション

VPN

このモデルでも管理接続用に高度暗号化(3DES/AES)ライセンスをインストールできます。たとえば、ASDM HTTPS/SSL、SSHv2、Telnet、および SNMPv3 を使用できます。ボットネット トラフィック フィルタ(SSL を使用)用のダイナミック データベースをダウンロードすることもできます。

リモート アクセス機能

Android プラットフォーム上の L2TP/IPsec サポート

L2TP/IPsec プロトコルとネイティブ Android VPN クライアントを使用している場合、Android モバイル デバイスと ASA 5500 シリーズ デバイス間の VPN 接続がサポートされます。モバイル デバイスは、Android 2.1 以降のオペレーティング システムを搭載している必要があります。

バージョン 8.2(5) でも使用可能です。

AnyConnect パスワードでの UTF-8 文字のサポート

ASA 8.4(1) に採用されている AnyConnect 3.0 は、RADIUS/MSCHAP および LDAP プロトコルを使用して送信されるパスワードで UTF-8 文字をサポートします。

IKEv2 を使用した IPsec VPN 接続

Internet Key Exchange Version 2(IKEv2; インターネット キー エクスチェンジ バージョン 2)は、Internet Protocol Security(IPsec; インターネット プロトコル セキュリティ)の確立および制御に使用される最新のキー交換プロトコルです。ASA は、すべてのクライアント オペレーティング システムについて、AnyConnect Secure Mobility Client Version 3.0(1) で IKEv2 を使用した IPsec をサポートします。

ASA 側で、グループ ポリシー内のユーザについて IPsec 接続をイネーブルにします。AnyConnect クライアントでは、クライアント プロファイルのサーバ リストに含まれる各 ASA についてプライマリ プロトコル(IPsec または SSL)を指定します。

AnyConnect Essentials ライセンスおよび AnyConnect Premium ライセンスに IKEv2 を使用した IPsec リモート アクセス VPN が追加されました。

Other VPN ライセンス(以前の IPsec VPN)にはサイトツーサイト セッションが追加されました。Other VPN ライセンスは基本ライセンスに含まれています。

vpn-tunnel-protocol crypto ikev2 policy crypto ikev2 enable crypto ipsec ikev2 crypto dynamic-map crypto map の各コマンドを変更しました。

SSL SHA-2 デジタル署名

このリリースは、デジタル証明書を使用する SSL VPN 接続の認証における SHA-2 準拠の署名アルゴリズムをサポートします。シスコの SHA-2 サポートは、SHA-256、SHA-384、SHA-512 という 3 つのハッシュ サイズすべてを対象とします。SHA-2 には AnyConnect 2.5.1 以降(2.5.2 以降を推奨)が必要です。このリリースは、他の使用または製品では SHA-2 をサポートしません。この機能に伴う設定変更はありません。

注意:SHA-2 接続のフェールオーバーをサポートするためには、スタンバイ ASA も同じイメージを実行している必要があります。この機能をサポートするために、 show crypto ca certificate コマンド に署名の生成に使用されるダイジェスト アルゴリズムを指定する Signature Algorithm フィールドを追加しました。

SCEP プロキシ

SCEP プロキシは、AnyConnect セキュア モビリティ クライアントに自動化されたサードパーティ証明書登録のサポートを提供します。この機能を使用することにより、AnyConnect でのデバイス証明書のセキュアなゼロタッチ展開が可能となり、エンドポイント接続の認可、企業資産以外によるアクセスを防止するポリシーの適用、および企業資産のトラッキングを実現できます。

crypto ikev2 enable scep-enrollment enable scep-forwarding-url debug crypto ca scep-proxy secondary-username-from-certificate secondary-pre-fill-username の各コマンドを導入または変更しました。

Host Scan パッケージのサポート

この機能は、Host Scan パッケージのインストールまたはアップグレードや Host Scan のイネーブル化またはディセーブル化に必要なサポートを ASA に提供します。このパッケージは、スタンドアロンの Host Scan パッケージまたは ASA が AnyConnect Next Generation パッケージから抽出する Host Scan パッケージのいずれかです。

AnyConnect の以前のリリースでは、エンドポイントのポスチャが Cisco Secure Desktop(CSD)によって決定されていました。Host Scan は、CSD に付属する多くの機能の 1 つでした。Host Scan を CSD から分離したことにより、Host Scan の更新およびインストールを CSD の他の機能とは別個に行うことができ、AnyConnect 管理者の自由度が増します。

csd hostscan image path コマンドを導入しました。

Kerberos Constrained Delegation(KCD)

このリリースは、ASA に KCD プロトコル移行および制約付き委任の拡張機能を実装します。KCD により、クライアントレス SSL VPN(WebVPN ともいう)のユーザは Kerberos で保護された Web サービスへの SSO アクセスが可能になります。このようなサービスまたはアプリケーションの例として、Outlook Web Access(OWA)、Sharepoint、Internet Information Server(IIS; インターネット インフォメーション サービス)などがあります。

プロトコル移行の実装により、ASA はリモート アクセス ユーザに代わって Kerberos サービス チケットを取得できるため、ユーザに Kerberos による KDC への認証を要求しません。その代わりに、ユーザは、デジタル証明書やスマートカードなど、クライアントレス SSL VPN(WebVPN ともいう)用のサポートされる認証メカニズムを使用して ASA への認証を行います。ユーザ認証が完了すると、ASA は偽装チケットを取得します。これは ASA がユーザに代わって取得するサービス チケットです。ASA は、偽装チケットを使用して、リモート アクセス ユーザのために他のサービス チケットを取得できます。

制約付き委任により、ドメイン管理者は委任に対して信頼されているサービス(ASA など)がアクセスできるネットワーク リソースを制限できます。これを行うには、サービスを実行しているアカウントを特定のコンピュータ上で実行されているサービスの特定のインスタンスへの委任に対して信頼されるアカウントに設定します。

kcd-server clear aaa show aaa test aaa-server authentication の各コマンドを変更しました。

クライアントレス VPN 自動サインオンの機能拡張

スマート トンネルが Firefox および Internet Explorer で HTTP ベースの自動サインオンをサポートするようになりました。管理者は、Internet Explorer を使用する場合と同じように、Firefox ブラウザがクレデンシャルをどのホストに自動送信するかを決定します。認証方式によっては、管理者が ASA において([Add Smart Tunnel Auto Sign-on Server] ウィンドウで)、ウェブアプリケーションの設定と一致するレルムの文字列を指定することが必要となる場合があります。スマート トンネルでの自動サインオンにもマクロ置換を含むブックマークを使用できるようになりました。

POST プラグインは、現在使用されていません。以前の POST プラグインは、管理者がサインオン マクロを含むブックマークを指定し、POST 要求をポストする前にロードするキックオフ ページを受け取ることができるように作成されていました。この POST プラグイン アプローチにより、Cookie の存在と事前に取得された他のヘッダー項目を必要とする要求が許可されます。管理者は、これと同じ機能を実現するために、ブックマークの作成時に事前にロードされるページを指定できるようになりました。POST プラグインと同じように、管理者は、事前にロードされるページの URL と POST 要求の送信先 URL を指定します。

デフォルトの設定済み SSL VPN ポータルを独自のポータルに置き換えることができるようになりました。これを行うには、管理者が URL を外部ポータルとして指定します。グループ ポリシー ホームページとは異なり、外部ポータルはマクロ置換(自動サインオン用)と事前にロードされるページを含む POST 要求をサポートします。

smart-tunnel auto-signon コマンドを導入または変更しました。

拡張されたスマート トンネル アプリケーションのサポート

スマート トンネルには、次のアプリケーションのサポートが追加されました。

Microsoft Outlook Exchange Server 2010(ネイティブ サポート)。

ユーザはスマート トンネルを使用して Microsoft Office Outlook を Microsoft Exchange Server に接続できるようになりました。

Microsoft Sharepoint/Office 2010。

ユーザは、スマート トンネルを使用して、Microsoft Office 2010 アプリケーションおよび Microsoft Sharepoint によるリモート ファイル編集を実行できるようになりました。

インターフェイス機能

EtherChannel サポート(ASA 5510 以降)

それぞれ 8 個のアクティブ インターフェイスを持つ 802.3ad EtherChannel を最大 48 個まで設定できます。

(注) ASA 5550 上のスロット 1 の統合 4GE SSM を含む 4GE SSM 上のインターフェイスを EtherChannel の一部として使用することはできません。

channel-group lacp port-priority interface port-channel lacp max-bundle port-channel min-bundle port-channel load-balance lacp system-priority clear lacp counters show lacp show port-channel の各コマンドを導入しました。

トランスペアレント モードのブリッジ グループ

セキュリティ コンテキストのオーバーヘッドが望ましくない場合、あるいはセキュリティ コンテキストの利用を最大化する場合は、インターフェイスをブリッジ グループにまとめ、各ネットワークに 1 つのブリッジ グループを設定することができます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離されます。シングル モードでは最大 8 個、マルチ モードではコンテキストあたり最大 8 個のブリッジ グループを設定でき、各ブリッジ グループには最大 4 個のインターフェイスを追加できます。

(注) ASA 5505 には複数のブリッジ グループを設定できますが、ASA 5505 のトランスペアレント モードではデータ インターフェイスが 2 つまでに制限されるため、ブリッジ グループは実質的に 1 つしか使用できません。

interface bvi および show bridge-group コマンドを導入しました。

拡張性機能

ASA 5550、5580、および 5585-X でのコンテキストの増加

ASA 5550 および ASA 5585-X(SSP-10)では、コンテキストの最大数が 50 から 100 に引き上げられました。ASA 5580 および 5585-X(SSP-20)以降では、コンテキストの最大数が 50 から 250 に引き上げられました。

ASA 5580 および 5585-X での VLAN 数の増加

ASA 5580 および ASA 5585-X では、VLAN の最大数が 250 から 1024 に引き上げられました。

追加のプラットフォーム サポート

ASA リリース 8.4 のサポートされるプラットフォームとして Google Chrome が追加されました。Windows XP、Windows Vista、Windows 7、および Mac OS X リリース 6.0 では、32 ビット プラットフォームと 64 ビット プラットフォームの両方がサポートされます。

ASA 5580 および 5585-X での接続数の増加

ファイアウォール接続の最大数が次のように引き上げられました。

ASA 5580-20:1,000,000 から 2,000,000 へ。

ASA 5580-40:2,000,000 から 4,000,000 へ。

ASA 5585-X with SSP-10:750,000 から 1,000,000 へ。

ASA 5585-X with SSP-20:1,000,000 から 2,000,000 へ。

ASA 5585-X with SSP-40:2,000,000 から 4,000,000 へ。

ASA 5585-X with SSP-60:2,000,000 から 10,000,000 へ。

ASA 5580 での AnyConnect VPN セッション数の増加

AnyConnect VPN セッションの最大数が 5,000 から 10,000 に引き上げられました。

ASA 5580 での AnyConnect 以外の VPN セッション数の増加

AnyConnect 以外の VPN セッションの最大数が 5,000 から 10,000 に引き上げられました。

ハイ アベイラビリティ機能

ダイナミック ルーティング プロトコルによるステートフル フェールオーバー

アクティブ装置上のダイナミック ルーティング プロトコル(OSPF や EIGRP など)を介して学習されたルートは、スタンバイ装置の Routing Information Base(RIB; ルーティング情報ベース)テーブルに保存されるようになりました。フェールオーバー イベントが発生すると、セカンダリ アクティブ装置上のトラフィックが伝送され、ルートがわかっているため、中断が最小限に抑えられます。

show failover show route show route failover の各コマンドを変更しました。

ユニファイド コミュニケーション機能

UC プロトコル インスペクションの機能拡張

SIP インスペクションと SCCP インスペクションの機能拡張により、SCCP v2.0 サポート、SCCP インスペクションにおける GETPORT メッセージのサポート、SIP インスペクションにおける INVITE メッセージの SDP フィールドのサポート、SIP 上での QSIG トンネリングなど、ユニファイド コミュニケーション ソリューションの新機能をサポートします。さらに、Cisco Intercompany Media Engine は Cisco RT Lite 電話とサードパーティ ビデオ エンドポイント(Tandberg など)もサポートします。

変更されたコマンドはありません。

インスペクション機能

DCERPC の機能拡張

DCERPC インスペクションの機能拡張により、RemoteCreateInstance RPC メッセージのインスペクションがサポートされます。

変更されたコマンドはありません。

トラブルシューティングおよびモニタリング機能

SNMP トラップと MIB

追加のキーワードとして、 connection-limit-reached entity cpu-temperature cpu threshold rising entity fan-failure entity power-supply ikev2 stop | start interface-threshold memory-threshold nat packet-discard warmstart をサポートします。

entPhysicalTable は、センサー、ファン、電源、および関連コンポーネントのエントリを報告します。

追加の MIB として、ENTITY-SENSOR-MIB、CISCO-ENTITY-SENSOR-EXT-MIB、CISCO-ENTITY-FRU-CONTROL-MIB、CISCO-PROCESS-MIB、CISCO-ENHANCED-MEMPOOL-MIB、CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB、NAT-MIB、EVENT-MIB、EXPRESSION-MIB をサポートします。

追加のトラップとして、warmstart、cpmCPURisingThreshold、mteTriggerFired、cirResourceLimitReached、natPacketDiscard、ciscoEntSensorExtThresholdNotification をサポートします。

snmp cpu threshold rising snmp interface threshold snmp-server enable traps の各コマンドを導入または変更しました。

TCP ping の機能拡張

TCP ping を使用すると、ICMP エコー要求がブロックされたユーザが TCP 経由の接続をチェックできます。TCP ping の機能拡張により、送信元 IP アドレスとポートおよび発信元インターフェイスを指定して ping をホスト名または IPv4 アドレスに送信できます。

ping tcp コマンドを変更しました。

CPU 使用率の高いプロセスの表示

CPU 上で実行されているプロセスをモニタし、特定のプロセスの CPU 使用率に関する情報を取得できるようになりました。ログ時刻の 5 分前、1 分前、5 秒前の CPU に対する負荷をプロセスごとに示した情報を表示することもできます。情報は 5 秒おきに更新されるため、リアルタイムの統計を確認できます。また、ペインには更新ボタンがあるため、手動でいつでもデータを更新できます。

show process cpu-usage sorted コマンドを導入しました。

一般的な機能

パスワード暗号化の可視性

パスワードの暗号化をセキュリティ コンテキストで表示できます。

show password encryption コマンドを導入しました。

ファイアウォール機能の概要

ファイアウォールは、外部ネットワーク上のユーザによる不正アクセスから内部ネットワークを保護します。また、ファイアウォールは、人事部門ネットワークをユーザ ネットワークから分離するなど、内部ネットワーク同士の保護も行います。Web サーバまたは FTP サーバなど、外部のユーザが使用できるようにする必要のあるネットワーク リソースがあれば、ファイアウォールで保護された別のネットワーク( Demiliterized Zone (DMZ; 非武装地帯)と呼ばれる)上に配置します。ファイアウォールによって DMZ へのアクセスを制限できますが、DMZ には公開サーバしかないため、この地帯が攻撃されても影響を受けるのは公開サーバに限定され、他の内部ネットワークに影響が及ぶことはありません。また、特定アドレスだけに許可する、認証または認可を義務づける、または外部の URL フィルタリング サーバと協調するといった手段によって、内部ユーザが外部ネットワーク(インターネットなど)にアクセスする機会を制御することもできます。

ファイアウォールに接続されているネットワークに言及する場合、 外部 ネットワークはファイアウォールの手前にあるネットワーク、 内部 ネットワークはファイアウォールの背後にある保護されているネットワーク、そして DMZ はファイアウォールの背後にあるが、外部ユーザに制限付きのアクセスが許されているネットワークです。ASAを使用すると、数多くのインターフェイスに対してさまざまなセキュリティ ポリシーが設定できます。このインターフェイスには、多数の内部インターフェイス、多数の DMZ、および必要に応じて多数の外部インターフェイスが含まれるため、ここでは、このインターフェイスの区分は一般的な意味で使用するだけです。

この項は、次の内容で構成されています。

「セキュリティ ポリシーの概要」

「ファイアウォール モードの概要」

「ステートフル インスペクションの概要」

セキュリティ ポリシーの概要

他のネットワークにアクセスするために、ファイアウォールを通過することが許可されるトラフィックがセキュリティ ポリシーによって決められます。デフォルトでは、内部ネットワーク(高セキュリティ レベル)から外部ネットワーク(低セキュリティ レベル)へのトラフィックは、自由に流れることがASAによって許可されます。トラフィックにアクションを適用してセキュリティ ポリシーをカスタマイズすることができます。この項は、次の内容で構成されています。

「アクセス リストによるトラフィックの許可または拒否」

「NAT の適用」

「IP フラグメントからの保護」

「通過トラフィックに対する AAA の使用」

「HTTP、HTTPS、または FTP フィルタリングの適用」

「アプリケーション インスペクションの適用」

「IPS モジュールへのトラフィックの送信」

「Content Security and Control モジュールへのトラフィック送信」

「QoS ポリシーの適用」

「接続の制限と TCP 正規化の適用」

「脅威検出のイネーブル化」

「ボットネット トラフィック フィルタのイネーブル化」

「Cisco Unified Communications の設定」

アクセス リスト によるトラフィックの許可または拒否

アクセス リストは、内部から外部へのトラフィックを制限するため、または外部から内部へのトラフィックを許可するために使用できます。トランスペアレント ファイアウォール モードでは、非 IP トラフィックを許可するための EtherType アクセス リストも適用できます。

NAT の適用

NAT の利点のいくつかを次に示します。

内部ネットワークでプライベート アドレスを使用できます。プライベート アドレスは、インターネットにルーティングできません。

NAT はローカル アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際のアドレスを取得できません。

NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。

IP フラグメントからの保護

ASAは IP フラグメント保護を提供します。この機能は、すべての ICMP エラー メッセージの完全リアセンブリ、およびASAを介してルーティングされる残りの IP フラグメントの仮想リアセンブリを実行します。セキュリティ チェックに失敗したフラグメントは、ドロップされログに記録されます。仮想リアセンブリはディセーブルにできません。

通過トラフィックに対する AAA の使用

HTTP など特定のタイプのトラフィックに対して、認証と認可のいずれかまたは両方を要求することができます。ASAは、RADIUS サーバまたは TACACS+ サーバにアカウンティング情報を送信することもあります。

HTTP、HTTPS、または FTP フィルタリングの適用

アクセス リストを使用して、特定の Web サイトまたは FTP サーバへの発信アクセスを禁止できますが、このような方法で Web サイトの使用方法を設定し管理することは、インターネットの規模とダイナミックな特性から、実用的とはいえません。ASAを、次のインターネット フィルタリング製品のいずれかを実行している別のサーバと連携させて使用することをお勧めします。

Websense Enterprise

Secure Computing SmartFilter

アプリケーション インスペクションの適用

インスペクション エンジンは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。これらのプロトコルは、ASAが詳細なパケット インスペクションを行うことを要求します。

IPS モジュールへのトラフィックの送信

使用しているモデルが侵入防御用の IPS モジュールをサポートしている場合、トラフィックをモジュールに送信して検査することができます。IPS モジュールは、多数の埋め込み署名ライブラリに基づいて異常や悪用を探索することでネットワーク トラフィックのモニタおよびリアルタイム分析を行います。システムで不正なアクティビティが検出されると、侵入防御サービス機能は、該当する接続を終了して攻撃元のホストを永続的にブロックし、この事象をログに記録し、さらにアラートを Device Manager に送信します。その他の正規の接続は、中断することなく独立した動作を継続します。詳細については、IPS モジュールのマニュアルを参照してください。

Content Security and Control モジュールへのトラフィック送信

使用しているモデルでサポートされていれば、CSC SSM により、ウイルス、スパイウェア、スパム、およびその他の不要トラフィックから保護されます。これは、FTP、HTTP、POP3、および SMTP トラフィックをスキャンすることで実現されます。そのためには、これらのトラフィックを CSC SSM に送信するようにASAを設定しておきます。

QoS ポリシーの適用

音声やストリーミング ビデオなどのネットワーク トラフィックでは、長時間の遅延は許容されません。QoS は、この種のトラフィックにプライオリティを設定するネットワーク機能です。QoS とは、選択したネットワーク トラフィックによりよいサービスを提供するネットワークの機能です。

接続の制限と TCP 正規化の適用

TCP 接続、UDP 接続、および初期接続を制限することができます。接続と初期接続の数を制限することで、DoS 攻撃(サービス拒絶攻撃)から保護されます。ASAでは、初期接続の制限を利用して TCP 代行受信を発生させます。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。初期接続は、送信元と宛先間で必要なハンドシェイクを完了しなかった接続要求です。

TCP 正規化は、正常に見えないパケットをドロップするように設計された高度な TCP 接続設定で構成される機能です。

脅威検出のイネーブル化

スキャン脅威検出と基本脅威検出、さらに統計情報を使用して脅威を分析する方法を設定できます。

基本脅威検出は、DoS 攻撃などの攻撃に関係している可能性のあるアクティビティを検出し、自動的にシステム ログ メッセージを送信します。

一般的なスキャン攻撃は(サブネット内の多くのホストを経由してスキャンするか、1 つのホストまたはサブネットの多くのポートを経由してスイープすることにより)サブネット内の各 IP アドレスのアクセシビリティをテストするホストで構成されています。スキャンによる脅威の検出機能は、ホストがスキャンを実行するタイミングを決定します。トラフィック署名に基づく IPS スキャン検出とは異なり、ASA のスキャンによる脅威の検出機能では、広範なデータベースが保持され、これに含まれるホスト統計情報をスキャン アクティビティに関する分析に使用できます。

ホスト データベースは、不審なアクティビティを追跡します。このようなアクティビティには、戻りアクティビティのない接続、閉じているサービス ポートへのアクセス、脆弱な TCP 動作(非ランダム IPID など)、およびその他の多くの動作が含まれます。

攻撃者に関するシステム ログ メッセージを送信するように ASA を設定したり、自動的にホストを回避したりできます。

ボットネット トラフィック フィルタのイネーブル化

マルウェアとは、知らないうちにホストにインストールされている悪意のあるソフトウェアです。個人情報(パスワード、クレジット カード番号、キー ストローク、または独自のデータ)の送信などのネットワーク アクティビティを試行するマルウェアは、そのマルウェアが悪意のある既知の IP アドレスへの接続を開始したときに、ボットネット トラフィック フィルタで検出できます。ボットネット トラフィック フィルタは、着信と発信の接続を既知の不正なドメイン名と IP アドレス(ブラックリスト)のダイナミック データベースと照合して確認し、不審なアクティビティのログを記録します。マルウェア アクティビティに関する syslog メッセージを確認すると、ホストを切り離して感染を解決するための手順を実行できます。

Cisco Unified Communications の設定

Cisco ASA 5500 シリーズは、統合された通信構成にプロキシの機能を提供する戦略的なプラットフォームです。プロキシの目的は、クライアントとサーバ間の接続を終端し、再発信することです。プロキシは、トラフィック インスペクション、プロトコルとの適合性、ポリシー制御など幅広いセキュリティ機能を提供し、内部ネットワークのセキュリティを保証します。プロキシの機能として広く普及しているのが、暗号化された接続を終端して、接続の機密性を維持しながらセキュリティ ポリシーを適用する機能です。

ファイアウォール モードの概要

ASAは、次の 2 つのファイアウォール モードで動作します。

ルーテッド

トランスペアレント

ルーテッド モードでは、ASA は、ネットワークのルータ ホップと見なされます。

トランスペアレント モードでは、ASA は「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作し、ルータ ホップとは見なされません。ASAでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。

トランスペアレント ファイアウォールは、ネットワーク コンフィギュレーションを簡単にするために使用できます。トランスペアレント モードは、攻撃者からファイアウォールが見えないようにする場合にも有効です。トランスペアレント ファイアウォールは、他の場合にはルーテッド モードでブロックされるトラフィックにも使用できます。たとえば、トランスペアレント ファイアウォールでは、EtherType アクセス リストを使用するマルチキャスト ストリームが許可されます。

ステートフル インスペクションの概要

ASAを通過するトラフィックはすべて、アダプティブ セキュリティ アルゴリズムを使用して検査され、通過が許可されるか、またはドロップされます。単純なパケット フィルタは、送信元アドレス、宛先アドレス、およびポートが正しいかどうかはチェックできますが、パケット シーケンスまたはフラグが正しいかどうかはチェックしません。また、フィルタはすべてのパケットをフィルタと照合してチェックするため、処理が低速になる場合があります。


) TCP ステート バイパス機能を使用すると、パケット フローをカスタマイズできます。「TCP ステート バイパス」を参照してください。


ただし、ASAのようなステートフル ファイアウォールは、パケットの次のようなステートについて検討します。

新規の接続かどうか。

新規の接続の場合、ASAは、パケットをアクセス リストと照合してチェックする必要があり、これ以外の各種のタスクを実行してパケットの許可または拒否を決定する必要があります。このチェックを行うために、セッションの最初のパケットは「セッション管理パス」を通過しますが、トラフィックのタイプに応じて、「コントロール プレーン パス」も通過する場合があります。

セッション管理パスで行われるタスクは次のとおりです。

アクセス リストとの照合チェック

ルート ルックアップ

NAT 変換(xlates)の割り当て

「ファースト パス」でのセッション確立

レイヤ 7 インスペクションが必要なパケット(パケットのペイロードの検査または変更が必要)は、コントロール プレーン パスに渡されます。レイヤ 7 インスペクション エンジンは、2 つ以上のチャネルを持つプロトコルで必要です。2 つ以上のチャネルの 1 つは周知のポート番号を使用するデータ チャネルで、その他はセッションごとに異なるポート番号を使用するコントロール チャネルです。このようなプロトコルには、FTP、H.323、および SNMP があります。

確立済みの接続かどうか。

接続がすでに確立されている場合は、ASA でパケットの再チェックを行う必要はありません。一致するパケットの大部分は、両方向で「ファースト」パスを通過できます。高速パスで行われるタスクは次のとおりです。

IP チェックサム検証

セッション ルックアップ

TCP シーケンス番号のチェック

既存セッションに基づく NAT 変換

レイヤ 3 ヘッダー調整およびレイヤ 4 ヘッダー調整

UDP プロトコルまたは他のコネクションレス型プロトコルに対して、ASAはコネクション ステート情報を作成して、高速パスも使用できるようにします。

レイヤ 7 インスペクションを必要とするプロトコルに合致するデータ パケットも高速パスを通過できます。

確立済みセッション パケットの中には、セッション管理パスまたはコントロール プレーン パスを引き続き通過しなければならないものがあります。セッション管理パスを通過するパケットには、インスペクションまたはコンテンツ フィルタリングを必要とする HTTP パケットが含まれます。コントロール プレーン パスを通過するパケットには、レイヤ 7 インスペクションを必要とするプロトコルのコントロール パケットが含まれます。

VPN 機能の概要

VPN は、TCP/IP ネットワーク(インターネットなど)上のセキュアな接続で、プライベートな接続として表示されます。このセキュアな接続はトンネルと呼ばれます。ASAは、トンネリング プロトコルを使用して、セキュリティ パラメータのネゴシエート、トンネルの作成および管理、パケットのカプセル化、トンネルを通したパケットの送信または受信、パケットのカプセル化の解除を行います。ASAは、双方向のトンネル エンドポイントとして機能します。たとえば、プレーン パケットを受信してカプセル化し、それをトンネルのもう一方の側に送信することができます。そのエンドポイントで、パケットはカプセル化が解除され、最終的な宛先に送信されます。また、セキュリティ アプライアンスは、カプセル化されたパケットを受信してカプセル化を解除し、それを最終的な宛先に送信することもできます。ASAは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

ASAが実行する機能は次のとおりです。

トンネルの確立

トンネル パラメータのネゴシエーション

ユーザの認証

ユーザ アドレスの割り当て

データの暗号化と復号化

セキュリティ キーの管理

トンネルを通したデータ転送の管理

トンネル エンドポイントまたはルータとしての着信データと発信データの転送の管理

ASAは、これらの機能を実行するためにさまざまな標準プロトコルを起動します。

セキュリティ コンテキストの概要

1 台のASAを、セキュリティ コンテキストと呼ばれる複数の仮想デバイスに分割することができます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立したデバイスです。マルチ コンテキストは、複数のスタンドアロン デバイスを使用することに似ています。マルチ コンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつかの機能はサポートされません。

マルチ コンテキスト モードの場合、ASA には、セキュリティ ポリシー、インターフェイス、およびスタンドアロン デバイスで設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。システム管理者がコンテキストを追加および管理するには、コンテキストをシステム コンフィギュレーションに設定します。これが、シングル モード設定と同じく、スタートアップ コンフィギュレーションとなります。システム コンフィギュレーションは、ASA の基本設定を識別します。システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに(サーバからコンテキストをダウンロードするなど)、システムは管理コンテキストとして指定されているコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただし、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。