Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.2(2)
inspect ctiqbe コマンド~ inspect xdmcp コマンド
inspect ctiqbe コマンド~ inspect xdmcp コマンド
発行日;2012/05/10 | 英語版ドキュメント(2011/05/23 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 26MB) | フィードバック

目次

inspect ctiqbe コマンド~ inspect xdmcp コマンド

inspect ctiqbe

inspect dcerpc

inspect dns

inspect esmtp

inspect ftp

inspect gtp

inspect h323

inspect http

inspect icmp

inspect icmp error

inspect ils

inspect im

inspect ip-options

inspect ipsec-pass-thru

inspect mgcp

inspect mmp

inspect netbios

inspect pptp

inspect radius-accouting

inspect rsh

inspect rtsp

inspect sip

inspect skinny

inspect snmp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect waas

inspect waas

inspect xdmcp

inspect ctiqbe コマンド~ inspect xdmcp コマンド

inspect ctiqbe

CTIQBE プロトコル インスペクションをイネーブルにするには、 クラス コンフィギュレーション モードで inspect ctiqbe コマンド を使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。インスペクションをディセーブルにするには、このコマンドの no 形式を使用します。

inspect ctiqbe

no inspect ctiqbe

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは 7.0 で追加されました。既存の fixup コマンドが廃止され、代わりにこのコマンドが追加されました。

 
使用上のガイドライン

inspect ctiqbe コマンドは、NAT、PAT、および双方向 NAT をサポートしている CTIQBE プロトコル インスペクションをイネーブルにします。これにより、Cisco IP SoftPhone および他の Cisco TAPI/JTAPI アプリケーションが Cisco CallManager と正しく機能するようになり、 適応型セキュリティ アプライアンス を通じたコール設定が可能になります。

Telephony Application Programming Interface(TAPI)および Java Telephony Application Programming Interface(JTAPI)は、多数の Cisco VoIP アプリケーションで使用されます。Computer Telephony Interface Quick Buffer Encoding(CTIQBE)は、Cisco TAPI Service Provider(TSP)によって Cisco CallManager と通信するために使用されます。

次に、CTIQBE アプリケーション インスペクションの使用時に適用される制限の概要を示します。

CTIQBE アプリケーション インスペクションでは、alias コマンドを使用したコンフィギュレーションはサポートしていません。

CTIQBE コールのステートフル フェールオーバーはサポートされていません。

debug ctiqbe コマンドを使用すると、メッセージ送信が遅延することがあり、これによってリアルタイム環境のパフォーマンスに影響が出る可能性があります。このデバッグまたはロギングをイネーブルにしたときに、適応型セキュリティ アプライアンスを通じたコール設定を Cisco IP SoftPhone が完了できないように見られる場合は、Cisco IP SoftPhone を実行しているシステムで Cisco TSP 設定のタイムアウト値を増やします。

CTIQBE アプリケーション インスペクションでは、複数の TCP パケットにフラグメント化された CTIQBE メッセージはサポートしていません。

次に、特定のシナリオで CTIQBE アプリケーション インスペクションを使用する場合の特別な考慮事項の概要を示します。

2 つの Cisco IP SoftPhone が、適応型セキュリティ アプライアンスのそれぞれ異なるインターフェイスに接続された別々の Cisco CallManager に登録されている場合、これら 2 つの電話機間のコールが失敗します。

Cisco CallManager が Cisco IP SoftPhone と比べてよりセキュリティの高いインターフェイスに配置されているときに、Cisco CallManager IP アドレスの NAT または外部 NAT が必要な場合、Cisco IP SoftPhone では Cisco CallManager IP アドレスが PC 上の Cisco TSP コンフィギュレーションで明確に指定されている必要があるため、マッピングはスタティックにする必要があります。

PAT または外部 PAT の使用時に Cisco CallManager IP アドレスを変換する場合、Cisco IP SoftPhone を正常に登録させるには、TCP ポート 2748 を PAT(インターフェイス)アドレスと同じポートにスタティックにマッピングする必要があります。Cisco CallManager、Cisco IP SoftPhone、または Cisco TSP では CTIQBE リスニング ポート(TCP 2748)は固定であり、ユーザが設定することはできません。

シグナリング メッセージのインスペクション

シグナリング メッセージのインスペクションでは、多くの場合、 inspect ctiqbe コマンドでメディア エンドポイント(IP 電話など)の場所を特定する必要があります。

この情報は、メディア トラフィックのためのアクセス コントロールと NAT 状態を準備して、手動での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。

これらの場所を特定するときに、 inspect ctiqbe コマンドではトンネル デフォルト ゲートウェイ ルートを 使用しません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect ctiqbe コマンドが必要となる場合は、トンネル デフォルト ゲートウェイ ルートを設定しないようにしてください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。

次の例に示すように、CTIQBE インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(2748)上の CTIQBE トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map ctiqbe-port
hostname(config-cmap)# match port tcp eq 2748
hostname(config-cmap)# exit
hostname(config)# policy-map ctiqbe_policy
hostname(config-pmap)# class ctiqbe-port
hostname(config-pmap-c)# inspect ctiqbe
hostname(config-pmap-c)# exit
hostname(config)# service-policy ctiqbe_policy interface outside
 

すべてのインターフェイスに対して CTIQBE インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

show conn

さまざまな接続タイプの接続状態を表示します。

show ctiqbe

適応型セキュリティ アプライアンスを通じて確立された CTIQBE セッションに関する情報を表示します。CTIQBE インスペクション エンジンによって割り当てられたメディア接続に関する情報を表示します。

timeout

さまざまなプロトコルおよびセッション タイプのアイドル状態の最大継続時間を設定します。

inspect dcerpc

エンドポイントマッパー宛ての DCERPC トラフィックのインスペクションをイネーブルにするには、クラス コンフィギュレーション モード inspect dcerpc コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect dcerpc [ map_name ]

no inspect dceprc [ map_name ]

 
構文の説明

map_name

(任意)DCERPC マップの名前。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

inspect dcerpc コマンドは、DCERPC プロトコルに対するアプリケーション インスペクションをイネーブルまたはディセーブルにします。

次に、DCERPC ピンホールに設定したタイムアウトを使用して DCERPC インスペクション ポリシー マップを定義する例を示します。

hostname(config)# policy-map type inspect dcerpc dcerpc_map
hostname(config-pmap)# timeout pinhole 0:10:00
 
hostname(config)# class-map dcerpc
hostname(config-cmap)# match port tcp eq 135
 
hostname(config)# policy-map global-policy
hostname(config-pmap)# class dcerpc
hostname(config-pmap-c)# inspect dcerpc dcerpc_map
 
hostname(config)# service-policy global-policy global
 

 
関連コマンド

コマンド
説明

class

ポリシー マップ内のクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

timeout pinhole

DCERPC ピンホールのタイムアウトを設定して、グローバル システムのピンホール タイムアウトを上書きします。

inspect dns

DNS インスペクションをイネーブルにしたり(ディセーブルになっている場合)、DNS インスペクション パラメータを設定したりするには、クラス コンフィギュレーション モードで inspect dns コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。DNS インスペクションをディセーブルにするには、このコマンドの no 形式を使用します。

inspect dns [ map_name ] [dynamic-filter-snoop ]

no inspect dns [ map_name ] [dynamic-filter-snoop ]

 
構文の説明

dynamic-filter-snoop

(任意)ボットネット トラフィック フィルタのスヌーピングによる DNS インスペクションをイネーブルにします。

map_name

(任意)DNS マップの名前を指定します。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。ボットネット トラフィック フィルタのスヌーピングは、デフォルトでディセーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

7.2(1)

このコマンドは、DNS インスペクションの追加パラメータを設定できるように変更されました。

8.2(1)

dynamic-filter-snoop キーワードが追加されました。

 
使用上のガイドライン

DNS ガードは、適応型セキュリティ アプライアンスによって DNS 応答が転送されるとすぐに、DNS クエリーに関連付けられている DNS セッションを切断します。また、DNS ガードはメッセージ交換をモニタして、DNS 応答の ID が DNS クエリーの ID と必ず一致するようにします。

DNS インスペクションがイネーブルになっている場合(デフォルト)、適応型セキュリティ アプライアンスは次の追加タスクを実行します。

alias static 、および nat コマンドを使用して設定されているコンフィギュレーションに基づいて、DNS レコードを変換します(DNS リライト)。変換は、DNS 応答の A レコードにのみ適用されます。そのため、PTR レコードを必要とする逆ルックアップは、DNS リライトの影響を受けません。


) 個々の A レコードに複数の PAT ルールを適用できることで、使用する PAT ルールが不明確になるため、DNS リライトは PAT には適用されません。


DNS メッセージの最大長を強制します(デフォルトは 512 バイトで、最大長は 65535 バイトです)。パケット長が設定されている最大長よりも小さいことを検証するために、必要に応じて再構築が実行されます。最大長を超えた場合、パケットはドロップされます。

ドメイン名の長さを 255 バイトに、ラベルの長さを 63 バイトに強制します。

DNS メッセージ内に圧縮ポインタが出現する場合に、ポインタが参照するドメイン名の完全性を検証します。

圧縮ポインタのループが存在するかどうかを確認します。

複数の DNS セッションが同じ 2 つのホスト間で発生し、それらのセッションの 5 つのタプル(送信元/宛先 IP アドレス、送信元/宛先ポート、およびプロトコル)が同じものである場合、それらのセッションに対しては接続が 1 つのみ作成されます。DNS の識別情報は、app_id によって追跡され、各 app_id のアイドル タイマーはそれぞれ独立して動作します。

app_id の有効期限はそれぞれ独立して満了するため、正当な DNS 応答が適応型セキュリティ アプライアンスを通過できるのは、限られた期間内のみであり、リソースの継続使用はできません。ただし、 show conn コマンドを入力すると、DNS 接続のアイドル タイマーが新しい DNS セッションによってリセットされていることが示されます。これは共有 DNS 接続の性質によるものであり、仕様です。

DNS リライトの機能

DNS インスペクションがイネーブルになっている場合、DNS リライトは、任意のインターフェイスから発信された DNS メッセージの NAT を完全にサポートします。

内部ネットワーク上のクライアントが、外部インターフェイス上の DNS サーバから内部アドレスの DNS 解決を要求した場合、DNS A レコードは正しく変換されます。DNS インスペクション エンジンがディセーブルになっている場合、A レコードは変換されません。

DNS リライトは、次の 2 つの機能を実行します。

DNS クライアントがプライベート インターフェイス上にある場合は、 DNS 応答 内のパブリック アドレス(ルーティング可能なアドレスまたは「マッピングされている」アドレス)をプライベート アドレス(「実際の」アドレス)に変換します。

DNS クライアントがパブリック インターフェイス上にある場合は、プライベート アドレスをパブリック アドレスに変換します。

DNS インスペクションがイネーブルになっている間は、 alias 、static、または nat コマンドを使用して、DNS リライトを設定できます。これらのコマンドの構文および機能の詳細については、該当するコマンド ページを参照してください。

ボットネット トラフィック フィルタのスヌーピングと DNS 逆ルックアップ キャッシュ

ボットネット トラフィック フィルタのスヌーピングによって、ドメイン名がダイナミック データベースまたはスタティック データベースのドメイン名と比較され、名前および IP アドレスがボットネット トラフィック フィルタの DNS 逆ルックアップ キャッシュに追加されます。このキャッシュは、この後、不審なアドレスへの接続が実行された場合に、ボットネット トラフィック フィルタのロギング機能によって使用されます。

外部 DNS 要求が発信されるインターフェイスでのみ、ボットネット トラフィック フィルタのスヌーピングをイネーブルにすることを推奨します。内部 DNS サーバ宛てのトラフィックを含むすべての UDP DNS トラフィックでボットネット トラフィック フィルタのスヌーピングをイネーブルにすると、適応型セキュリティ アプライアンスに不要な負荷がかかります。

DNS スヌーピングでダイナミック データベースを使用する場合、エントリは DNS 逆ルックアップ キャッシュに追加されます。DNS 逆ルックアップ キャッシュ内のエントリには、DNS サーバから提供される Time To Live(TTL; 存続可能時間)の値が設定されます。許可されている最大 TTL 値は 1 日(24 時間)です。DNS サーバでそれよりも大きい TTL が指定されると、最大値である 1 日に切り捨てられます。

DNS 逆ルックアップ キャッシュでは、エントリがタイムアウトになった後、感染したホストが既知のアドレスへの接続を開始したときに、適応型セキュリティ アプライアンスによってエントリが更新され、DNS スヌーピングが発生します。

表 14-1 に、DNS 逆ルックアップ キャッシュの最大エントリ数をモデル別に示します。

 

表 14-1 DNS 逆ルックアップ キャッシュのモデル別のエントリ

ASA のモデル
最大エントリ数

ASA 5505

5000

ASA 5510

10,000

ASA 5520

20,000

ASA 5540

40,000

ASA 5550

40,000

ASA 5580

100,000

次に、DNS メッセージの最大長を設定する例を示します。

hostname(config)# policy-map type inspect dns dns-inspect
hostname(config-pmap)# parameters
hostname(config-pmap-p)# message-length maximum 1024
 

次に、すべての UDP DNS トラフィック用のクラス マップを作成し、デフォルトの DNS インスペクション ポリシー マップで DNS インスペクションおよびボットネット トラフィック フィルタのスヌーピングをイネーブルにして、外部インターフェイスに適用する例を示します。

hostname(config)# class-map dynamic-filter_snoop_class
hostname(config-cmap)# match port udp eq domain
hostname(config-cmap)# policy-map dynamic-filter_snoop_policy
hostname(config-pmap)# class dynamic-filter_snoop_class
hostname(config-pmap-c)# inspect dns preset_dns_map dynamic-filter-snoop
hostname(config-pmap-c)# service-policy dynamic-filter_snoop_policy interface outside
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug dns

DNS のデバッグ情報をイネーブルにします。

dynamic-filter enable

アクセス リストを指定しない場合、特定のトラフィック クラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

name

ブラックリストまたはホワイトリストに名前を追加します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect esmtp

SMTP アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect esmtp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect esmtp [ map_name ]

no inspect esmtp [ map_name ]

 
構文の説明

map_name

(任意)ESMTP マップの名前。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

ESMTP アプリケーション インスペクションは、適応型セキュリティ アプライアンスを通過できる SMTP コマンドのタイプを制限し、モニタリング機能を追加することによって、SMTP ベースの攻撃に対する高度な保護を提供します。

ESMTP は SMTP プロトコルの拡張機能であり、ほとんどの点で SMTP と類似しています。便宜上、このマニュアルでは、SMTP という用語で SMTP と ESMTP の両方を示します。拡張 SMTP のアプリケーション インスペクション プロセスは SMTP アプリケーション インスペクションと類似しており、SMTP セッションに対するサポートが含まれています。拡張 SMTP セッションで使用される大部分のコマンドは SMTP セッションで使用されるコマンドと同じですが、ESMTP セッションの方がはるかに高速であり、配信ステータス通知など、信頼性およびセキュリティに関連するより多くのオプションが用意されています。

inspect esmtp コマンドには、以前 fixup smtp コマンドで提供されていた機能が含まれており、さらに一部の拡張 SMTP コマンドに対するサポートも追加されています。拡張 SMTP アプリケーション インスペクションでは、AUTH、EHLO、ETRN、HELP、SAML、SEND、SOML、STARTLS、および VRFY を含む拡張 SMTP コマンドに対するサポートが追加されています。7 つの RFC 821 コマンド(DATA、HELO、MAIL、NOOP、QUIT、RCPT、RSET)に対するサポートとあわせて、適応型セキュリティ アプライアンスでは合計で 15 個の SMTP コマンドがサポートされています。

ATRN、ONEX、VERB、CHUNKING などのその他の拡張 SMTP コマンドおよびプライベート拡張はサポートされていません。サポートされていないコマンドは、内部サーバで拒否される X に変換されます。この結果、「500 Command unknown: 'XXX'.」のようなメッセージが表示され、不完全なコマンドは廃棄されます。

inspect esmtp コマンドは、「2」、「0」、「0」を除いて、サーバ SMTP バナー内の文字をアスタリスクに変更します。Carriage Return(CR; 復帰)文字および Line Feed(LF; 改行)文字は無視されます。

SMTP インスペクションがイネーブルの場合、次のルールが遵守されていないと、インタラクティブ SMTP に使用されている Telnet セッションは有効なコマンドを待機し、ファイアウォール esmtp ステート マシンはセッションのための正しい状態を保持します。このルールとは、SMTP コマンドは 4 文字以上である必要がある、SMTP コマンドは復帰と改行で終了している必要がある、および SMTP コマンドは次の返信を発行する前に応答を待機する必要がある、というものです。

SMTP サーバは数値の応答コードと人が読めるオプションのストリングを使用してクライアント要求に応答します。SMTP アプリケーション インスペクションによって、ユーザが使用できるコマンドとサーバが返すメッセージが制御および削減されます。SMTP インスペクションは、次の 3 つの主要なタスクを実行します。

SMTP 要求を 7 つの基本的な SMTP コマンドと 8 つの拡張コマンドに制限します。

SMTP コマンド応答シーケンスをモニタします。

監査証跡を生成します。メール アドレスに組み込まれていた無効な文字が置き換えられると、監査レコード 108002 が生成されます。詳細については、RFC 821 を参照してください。

SMTP インスペクションは、コマンドおよび応答シーケンスをモニタして、次の異常なシグニチャを検出します。

不完全なコマンド。

コマンドの不正な終了(<CR><LF> で終わっていない)。

MAIL from コマンドまたは RCPT to コマンドに対するパラメータとして PIPE シグニチャが見つかった場合、セッションは閉じられます。ユーザが設定することはできません。

SMTP サーバによる予期しない移行。

未知のコマンドがあると、適応型セキュリティ アプライアンスはパケット内のすべての文字を X に変更します。この場合、サーバはクライアントに対してエラー コードを生成します。パケット内が変更されるため、TCP チェックサムの再計算または調整が必要になります。

TCP ストリームの編集。

コマンドのパイプライン化。

次の例に示すように、SMTP インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(25)上の SMTP トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map smtp-port
hostname(config-cmap)# match port tcp eq 25
hostname(config-cmap)# exit
hostname(config)# policy-map smtp_policy
hostname(config-pmap)# class smtp-port
hostname(config-pmap-c)# inspect esmtp
hostname(config-pmap-c)# exit
hostname(config)# service-policy smtp_policy interface outside
 

すべてのインターフェイスに対して SMTP インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug esmtp

SMTP のデバッグ情報をイネーブルにします。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

show conn

SMTP など、さまざまな接続タイプの接続状態を表示します。

inspect ftp

ポートを FTP インスペクション用に設定したり、拡張インスペクションをイネーブルにしたりするには、クラス コンフィギュレーション モードで inspect ftp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect ftp [ strict [ map_name ]]

no inspect ftp [ strict [ map_name ]]

 
構文の説明

map_name

FTP マップの名前。

strict

(任意)FTP トラフィックの拡張インスペクションをイネーブルにして、RFC 標準への準拠を強制します。


注意 FTP を上位のポートに移動する場合には注意が必要です。たとえば、FTP ポートを 2021 に設定した場合、ポート 2021 に対して開始されるすべての接続で、データ ペイロードが FTP コマンドとして解釈されます。

 
デフォルト

適応型セキュリティ アプライアンスは、デフォルトではポート 21 で FTP をリッスンします。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。 map_name オプションが追加されました。

 
使用上のガイドライン

FTP アプリケーション インスペクションは FTP セッションを検査して、次の 4 つのタスクを実行します。

ダイナミックなセカンダリ データ接続を準備します。

ftp コマンド応答シーケンスを追跡します。

監査証跡を生成します。

埋め込み IP アドレスの NAT を実行します。


) バナーを除いて、inspect ftp では FTP コマンドまたは応答をセグメント化する FTP サーバはサポートしていません。


FTP アプリケーション インスペクションは FTP データ転送用にセカンダリ チャネルを準備します。ファイル アップロード、ファイル ダウンロード、またはディレクトリ リスト作成のイベントに応答してチャネルが割り当てられますが、事前のネゴシエーションが必要です。ポートは、PORT または PASV コマンドを使用してネゴシエートされます。


) FTP コントロール接続のポートだけを指定し、データ接続のポートは指定しないでください。適応型セキュリティ アプライアンスのステートフル インスペクション エンジンは、必要に応じてダイナミックにデータ接続を準備します。



no inspect ftp コマンドを使用して FTP インスペクション エンジンをディセーブルにした場合、発信ユーザはパッシブ モードでのみ接続を開始でき、着信 FTP はすべてディセーブルになります。


strict オプションの使用方法

strict オプションを使用すると、Web ブラウザは FTP 要求で組み込みコマンドを送信できなくなります。個々の ftp コマンドは、新しいコマンドが許可される前に承認される必要があります。組み込みコマンドを送信する接続は、ドロップされます。strict オプションを使用すると、FTP サーバは 227 コマンドしか生成できなくなり、FTP クライアントは PORT コマンドしか生成できなくなります。227 コマンドおよび PORT コマンドは、これらのコマンドがエラー ストリング内に表示されないようにするためにチェックされます。

すべてのインターフェイスに対してストリクト FTP アプリケーション インスペクションをイネーブルにするには、 interface コマンド の代わりに global パラメータを使用します。


注意 strict オプションを使用すると、RFC 標準に準拠していない FTP クライアントは切断されることがあります。

strict オプションがイネーブルの場合、次の異常なアクティビティに関して、各 ftp コマンドと応答シーケンスが追跡されます。

不完全なコマンド:PORT および PASV 応答コマンド内のカンマの数が 5 個であるかどうかがチェックされます。5 個ではなかった場合、PORT コマンドは切り捨てられていると見なされ、TCP 接続は閉じられます。

不正なコマンド: ftp コマンドが、RFC で要求されているとおりに <CR><LF> 文字で終了しているかどうかがチェックされます。これらの文字で終了していない場合、接続は閉じられます。

RETR および STOR コマンドのサイズ:これらのコマンドのサイズが固定値と照合されます。サイズが固定値より大きい場合、エラー メッセージがログに記録され、接続は閉じられます。

コマンド スプーフィング:PORT コマンドは常にクライアントから送信される必要があります。PORT コマンドがサーバから送信されている場合、TCP 接続は拒否されます。

応答スプーフィング:PASV 応答コマンド(227)は常にサーバから送信される必要があります。PASV 応答コマンドがクライアントから送信されている場合、TCP 接続は拒否されます。これにより、ユーザが「227 xxxxx a1, a2, a3, a4, p1, p2」を実行した場合のセキュリティ ホールが防止されます。

TCP ストリームの編集。

無効なポートのネゴシエーション:ネゴシエートされたダイナミック ポートの値が 1024 未満であるかどうかがチェックされます。1 ~ 1024 の範囲のポート番号は既知の接続用に予約されているため、ネゴシエートされたポートがこの範囲内の場合、TCP 接続は解消されます。

コマンドのパイプライン化:PORT および PASV 応答コマンド内のポート番号の後にある文字の数が定数 8 と照合されます。8 よりも大きかった場合、TCP 接続は閉じられます。

適応型セキュリティ アプライアンスは SYST コマンドに対する FTP サーバの応答を連続した X で置き換えて、サーバのシステム タイプが FTP クライアントに知られないようにします。このデフォルト動作を上書きするには、FTP マップ コンフィギュレーション モードで no mask-syst-reply コマンドを使用します。


) 適応型セキュリティ アプライアンスの通過を許可しない特定の FTP コマンドを識別するには、FTP マップを識別し request-command deny コマンドを使用します。詳細については、ftp-map および request-command deny コマンドのページを参照してください。


FTP ログ メッセージ

FTP アプリケーション インスペクションでは、次のログ メッセージが生成されます。

取得またはアップロードされたファイルごとに監査レコード 302002 が生成されます。

ftp コマンドが RETR または STOR であるかどうかがチェックされ、取得コマンドおよび格納コマンドがログに記録されます。

ユーザ名は、IP アドレスを提供するテーブルを検索することで取得されます。

ユーザ名、送信元 IP アドレス、宛先 IP アドレス、NAT アドレス、およびファイル操作がログに記録されます。

メモリ不足によってセカンダリ ダイナミック チャネルの準備が失敗した場合、監査レコード 201005 が生成されます。

FTP アプリケーション インスペクションは、NAT と連携して、アプリケーション ペイロード内の IP アドレスを変換します。この詳細は RFC 959 に記載されています。

ユーザ名およびパスワードを送信する前に、すべての FTP ユーザが起動バナーとともに表示されます。デフォルトでは、このバナーには、ハッカーがシステムの弱点を特定しようとする際に役立つバージョン情報が含まれます。次に、このバナーをマスクする例を示します。

hostname(config)# policy-map type inspect ftp mymap
hostname(config-pmap)# parameters
hostname(config-pmap-p)# mask-banner
hostname(config-pmap-p)# exit
hostname(config-pmap)# exit
hostname(config)# class-map match-all ftp-traffic
hostname(config-cmap)# match port tcp eq ftp
hostname(config-cmap)# exit
hostname(config)# policy-map ftp-policy
hostname(config-pmap)# class ftp-traffic
hostname(config-pmap-c)# inspect ftp strict mymap
hostname(config-pmap-c)# exit
hostname(config-pmap)# exit
hostname(config)# service-policy ftp-policy interface inside
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

mask-syst-reply

FTP サーバ応答をクライアントから見えないようにします。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

request-command deny

禁止する FTP コマンドを指定します。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect gtp

GTP インスペクションをイネーブルまたはディセーブルにしたり、GTP トラフィックまたはトンネルを制御するための GTP マップを定義したりするには、クラス コンフィギュレーション モード inspect gtp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコマンドを削除するには、このコマンドの no 形式を使用します。

inspect gtp [ map_name ]

no inspect gtp [ map_name ]


) GTP インスペクションには、特別なライセンスが必要です。必要なライセンスがない状態で適応型セキュリティ アプライアンスで inspect gtp コマンドを入力すると、適応型セキュリティ アプライアンスによってエラー メッセージが表示されます。


 
構文の説明

map_name

(任意)GTP マップの名前。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

GTP は GPRS のトンネリング プロトコルであり、ワイヤレス ネットワークを介したセキュアなアクセスの提供に役立ちます。GPRS は、既存の GSM ネットワークとの統合を目的としたデータ ネットワーク アーキテクチャです。企業ネットワークおよびインターネットに対する連続したパケットスイッチド データ サービスをモバイル加入者に提供します。GTP の概要については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』の「Applying Application Layer Protocol Inspection」の章を参照してください。

GTP のパラメータの定義に使用する特定のマップを識別するには、 gtp-map コマンドを使用します。このコマンドを入力すると、コンフィギュレーション モードが開始され、個々のマップを定義するためのさまざまなコマンドを入力できるようになります。基準を満たさないメッセージに対して指定できるアクションは、 drop rate-limit などのさまざまなコンフィギュレーション コマンドを使用して設定します。これらのアクションに加えて、イベントをログに記録するかどうかも指定できます。

GTP マップを定義した後、 inspect gtp コマンドを使用してマップをイネーブルにします。 class-map policy-map 、および service-policy の各コマンドを使用して、トラフィックのクラスを定義し、inspect コマンドをクラスに適用し、ポリシーを 1 つまたは複数のインターフェイスに適用します。

GTP の既知のポートは次のとおりです。

3386

2123

次の機能は 7.0 ではサポートされていません。

NAT、PAT、外部 NAT、エイリアス、およびポリシー NAT

3386、2123、および 2152 以外のポート

トンネル IP パケットとその内容の検証

シグナリング メッセージのインスペクション

シグナリング メッセージのインスペクションでは、多くの場合、 inspect gtp コマンドでメディア エンドポイント(IP 電話など)の場所を特定する必要があります。

この情報は、メディア トラフィックのためのアクセス コントロールと NAT 状態を準備して、手動での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。

これらの場所を特定するときに、 inspect gtp コマンドではトンネル デフォルト ゲートウェイ ルートを 使用しません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect gtp コマンドが必要となる場合は、トンネル デフォルト ゲートウェイ ルートを設定しないようにしてください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。

次に、アクセス リストを使用して GTP トラフィックを識別し、GTP マップを定義して、ポリシーを定義し、外部インターフェイスにポリシーを適用する例を示します。

hostname(config)# access-list gtp-acl permit udp any any eq 3386
hostname(config)# access-list gtp-acl permit udp any any eq 2123
hostname(config)# class-map gtp-traffic
hostname(config)# match access-list gtp-acl
hostname(config)# gtp-map gtp-policy
hostname(config)# policy-map inspection_policy
hostname(config-pmap)# class gtp-traffic
hostname(config-pmap-c)# inspect gtp gtp-policy
hostname(config)# service-policy inspection_policy interface outside
 

) この例では、デフォルト値で GTP インスペクションをイネーブルにします。デフォルト値を変更するには、gtp-map コマンドのページと、GTP マップ コンフィギュレーション モードで入力する各コマンドのコマンド ページを参照してください。


 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

clear service-policy inspect gtp

グローバル GTP 統計情報をクリアします。

debug gtp

GTP インスペクションに関する詳細情報を表示します。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

show service-policy inspect gtp

inspect gtp ポリシーのステータスおよび統計情報を表示します。

inspect h323

H.323 アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect h323 コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect h323 { h225 | ras } [ map_name ]

no inspect h323 { h225 | ras } [ map_name ]

 
構文の説明

h225

H.225 シグナリング インスペクションをイネーブルにします。

map_name

(任意)H.323 マップの名前。

ras

RAS インスペクションをイネーブルにします。

 
デフォルト

デフォルトのポート割り当ては次のとおりです。

h323 h225 1720

h323 ras 1718 ~ 1719

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

inspect h323 コマンドは、Cisco CallManager や VocalTec Gatekeeper などの H.323 に準拠したアプリケーションに対するサポートを提供します。H.323 は International Telecommunication Union(ITU; 国際電気通信連合)で定義されている、LAN を介したマルチメディア会議用のプロトコル スイートです。適応型セキュリティ アプライアンスでは、H.323 v3 機能の Multiple Calls on One Call Signaling Channel を含め、バージョン 6 までの H.323 をサポートしています。

H.323 インスペクションがイネーブルの場合、適応型セキュリティ アプライアンスは、H.323 バージョン 3 で導入された同じコール シグナリング チャネルでの複数コール機能をサポートします。この機能により、コール設定時間が短縮され、適応型セキュリティ アプライアンス上のポートの使用も削減されます。

H.323 インスペクションの主な 2 つの機能は、次のとおりです。

H.225 および H.245 メッセージ内に埋め込まれている必要な IPv4 アドレスの NAT を実行します。H.323 メッセージは PER エンコーディング形式でエンコードされているため、適応型セキュリティ アプライアンスは ASN.1 デコーダを使用して H.323 メッセージをデコードします。

ネゴシエートされた H.245 および RTP/RTCP 接続をダイナミックに割り当てます。

H.323 の動作

H.323 のプロトコル コレクションでは、あわせて最大 2 つの TCP 接続と 4 ~ 6 つの UDP 接続を使用できます。FastStart では 1 つの TCP 接続だけを使用し、RAS では登録、許可、およびステータス用に単一の UDP 接続を使用します。

H.323 クライアントは最初に、TCP ポート 1720 を使用して H.323 サーバへの TCP 接続を確立し、Q.931 コール設定を要求します。コール設定プロセスの一環として、H.323 端末は H.245 TCP 接続に使用するポート番号をクライアントに提供します。H.245 接続は、コール ネゴシエーションとメディア チャネル設定に使用されます。H.323 ゲートキーパーが使用されている環境では、最初のパケットは UDP を使用して送信されます。

H.323 インスペクションは Q.931 TCP 接続をモニタして、H.245 ポート番号を決定します。H.323 端末で FastStart を使用していない場合、適応型セキュリティ アプライアンスは H.225 メッセージのインスペクションに基づいて H.245 接続をダイナミックに割り当てます。


) RAS を使用している場合は、H.225 接続もまたダイナミックに割り当てることができます。


各 H.245 メッセージ内で、H.323 エンドポイントは後続の UDP データ ストリームに使用されるポート番号を交換します。H.323 インスペクションは H.245 メッセージを検査してこれらのポートを識別し、メディア交換用にダイナミックに接続を作成します。Real-Time Transport Protocol(RTP)はネゴシエートされたポート番号を使用し、RTP Control Protocol(RTCP)はすぐ次の上位ポート番号を使用します。

H.323 コントロール チャネルは H.225、H.245 および H.323 RAS を処理します。H.323 インスペクションでは、次のポートが使用されます。

1718:ゲートキーパー検出に使用される UDP ポート

1719:RAS およびゲートキーパー検出に使用される UDP ポート

1720:TCP 制御ポート

ゲートキーパーからの ACF メッセージが適応型セキュリティ アプライアンスを通過する場合は、H.225 接続用のピンホールが開かれます。H.245 シグナリング ポートは、H.225 シグナリングのエンドポイント間でネゴシエートされます。H.323 ゲートキーパーが使用されると、適応型セキュリティ アプライアンスは ACF メッセージのインスペクションに基づいて H.225 接続を開きます。適応型セキュリティ アプライアンスで ACF メッセージを確認できない場合は、H.225 コール シグナリング用に既知の H.323 ポート 1720 のアクセス リストを開くことが必要になる場合があります。

適応型セキュリティ アプライアンスは H.225 メッセージを検査した後、H.245 チャネルをダイナミックに割り当てて、同様にフィックスアップする H.245 チャネルに接続します。これは、適応型セキュリティ アプライアンスを通過した H.245 メッセージはすべて、H.245 アプリケーション インスペクションを通過し、埋め込み IP アドレスの NAT が実行され、ネゴシエートされたメディア チャネルが開かれることを意味します。

H.323 ITU 標準では、信頼できる接続に送信する前に、メッセージ長を定義する TPKT ヘッダーを H.225 および H.245 の前に配置することが規定されています。TPKT ヘッダーは必ずしも H.225/H.245 メッセージと同じ TCP パケットで送信される必要はないため、適応型セキュリティ アプライアンスではメッセージを正しく処理およびデコードするために TPKT 長を保持しておく必要があります。適応型セキュリティ アプライアンスは接続ごとにデータ構造を保持し、そのデータ構造に次に想定されるメッセージの TPKT 長が格納されます。

適応型セキュリティ アプライアンスで任意の IP アドレスの NAT を実行する必要がある場合は、チェックサム、User-User Information Element(UUIE)長、および TPKT(H.225 メッセージの TCP パケットに含まれている場合)を変更する必要があります。TPKT が別の TCP パケットで送信される場合、適応型セキュリティ アプライアンスはその TPKT のプロキシ ACK を実行し、H.245 メッセージに新しい長さの新しい TPKT を付加します。


) 適応型セキュリティ アプライアンスでは、TPKT のプロキシ ACK における TCP オプションはサポートしていません。


パケットが H.323 インスペクションを通過する各 UDP 接続は、H.323 接続としてマークされ、 timeout コマンドを使用して設定した H.323 タイムアウト値でタイムアウトします。

H.245 メッセージでの H.239 サポート

セキュリティ アプライアンスは 2 つの H.323 エンドポイント間に配置されます。エンドポイントでスプレッドシート データなどのデータ プレゼンテーションを送受信できるように 2 つの H.323 エンドポイントでテレプレゼンテーション セッションを設定している場合、セキュリティ アプライアンスはエンドポイント間の H.239 ネゴシエーションが正常に実行されることを保証します。

H.239 は、単一のコールで追加のビデオ チャネルを開く機能を H.300 シリーズのエンドポイントに提供する標準規格です。エンドポイント(ビデオ電話など)は、1 つのコールで、ビデオ用のチャネルとデータ プレゼンテーション用のチャネルを送信します。H.239 ネゴシエーションは H.245 チャネルで発生します。

セキュリティ アプライアンスは、追加のメディア チャネル用にピンホールを開きます。エンドポイントは Open Logical Channel(OLC; オープン論理チャネル)メッセージを使用して、新しいチャネル作成を通知します。メッセージ拡張は H.245 バージョン 13 に含まれています。

テレプレゼンテーション セッションのデコーディングおよびエンコーディングは、デフォルトでイネーブルになっています。H.239 エンコーディングおよびデコーディングは ASN.1 コーダによって実行されます。

制限事項および制約事項

次に、H.323 アプリケーション インスペクションを使用する場合の既知の問題および制限の一部を示します。

スタティック PAT が、H.323 メッセージ内のオプション フィールドに埋め込まれている IP アドレスを正しく変換できないことがあります。この種の問題が発生した場合は、H.323 でスタティック PAT を使用しないでください。

H.323 アプリケーション インスペクションは、セキュリティレベルの等しいインターフェイス間の NAT ではサポートされていません。

NetMeeting クライアントが H.323 ゲートキーパーに登録されているときに、同じく H.323 ゲートキーパーに登録されている H.323 ゲートウェイにコールを発信しようとすると、接続は確立されるが音声が双方向で聞こえないという現象が確認されています。この問題は適応型セキュリティ アプライアンスとは無関係です。

ネットワーク スタティックを設定する場合、そのネットワーク スタティックがサードパーティのネットマスクおよびアドレスと同じであると、すべての発信 H.323 接続が失敗します。

シグナリング メッセージのインスペクション

シグナリング メッセージのインスペクションでは、多くの場合、 inspect h323 コマンドでメディア エンドポイント(IP 電話など)の場所を特定する必要があります。

この情報は、メディア トラフィックのためのアクセス コントロールと NAT 状態を準備して、手動での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。

これらの場所を特定するときに、 inspect h323 コマンドではトンネル デフォルト ゲートウェイ ルートを 使用しません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect h323 コマンドが必要となる場合は、トンネル デフォルト ゲートウェイ ルートを設定しないようにしてください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。

次の例に示すように、H.323 インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(1720)上の H.323 トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map h323-port
hostname(config-cmap)# match port tcp eq 1720
hostname(config-cmap)# exit
hostname(config)# policy-map h323_policy
hostname(config-pmap)# class h323-port
hostname(config-pmap-c)# inspect h323
hostname(config-pmap-c)# exit
hostname(config)# service-policy h323_policy interface outside
 

すべてのインターフェイスに対して H.323 インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

debug h323

H.323 のデバッグ情報の表示をイネーブルにします。

show h225

適応型セキュリティ アプライアンスを越えて確立された H.225 セッションの情報を表示します。

show h245

スロー スタートを使用しているエンドポイントが適応型セキュリティ アプライアンスを越えて確立した H.245 セッションの情報を表示します。

show h323-ras

適応型セキュリティ アプライアンスを越えて確立された H.323 RAS セッションの情報を表示します。

timeout { h225 | h323}

H.225 シグナリング接続または H.323 制御接続が閉じるまでのアイドル時間を設定します。

inspect http

HTTP アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モードで inspect http コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect http [ map_name ]

no inspect http [ map_name ]

 
構文の説明

map_name

(任意)HTTP マップの名前。

 
デフォルト

HTTP のデフォルト ポートは 80 です。

拡張 HTTP インスペクションは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

inspect http コマンドは、HTTP トラフィックに関連付けられている可能性のある特定の攻撃およびその他の脅威を防ぎます。HTTP インスペクションは、次のような複数の機能を実行します。

拡張 HTTP インスペクション

N2H2 または Websense による URL のスクリーニング

Java および ActiveX のフィルタリング

後の 2 つの機能は、 filter コマンドとともに設定します。

拡張 HTTP インスペクションでは、HTTP メッセージが RFC 2616 に準拠していること、RFC で規定されている方式またはサポートされている拡張方式を使用していること、および他のさまざまな基準に適合していることを検証します。多くの場合、これらの基準と基準を満たしていない場合のシステムの応答を設定できます。基準を満たさないメッセージに対して指定できるアクションは、 allow reset drop などのさまざまなコンフィギュレーション コマンドを使用して設定します。これらのアクションに加えて、イベントをログに記録するかどうかも指定できます。

HTTP メッセージに適用できる基準は、次のとおりです。

設定可能リストに挙げられている方式が含まれていない。

特定の転送エンコーディング方式またはアプリケーション タイプ。

HTTP トランザクションが RFC 仕様に従っている。

メッセージ本文のサイズが設定可能な限度内である。

要求メッセージおよび応答メッセージのヘッダー サイズが設定可能な限度内である。

URI 長が設定可能な限度内である。

メッセージ本文の content-type がヘッダーと一致している。

応答メッセージの content-type が要求メッセージの accept-type フィールドと一致している。

メッセージの content-type が事前定義済みの内部リストに含まれている。

メッセージが HTTP RFC 形式の基準を満たしている。

選択したサポート対象アプリケーションの有無。

選択したエンコーディング タイプの有無。


) 基準を満たさないメッセージに対して指定できるアクションは、allowresetdrop などのさまざまなコンフィギュレーション コマンドを使用して設定します。これらのアクションに加えて、イベントをログに記録するかどうかも指定できます。


 

拡張 HTTP インスペクションをイネーブルにするには、 inspect http http-map コマンドを入力します。このコマンドで HTTP トラフィックに適用されるルールは、特定の HTTP マップで定義します。この HTTP マップを設定するには、 http-map コマンドおよび HTTP マップ コンフィギュレーション モード コマンドを入力します。


) HTTP マップを使用して HTTP インスペクションをイネーブルにすると、アクション reset および log を指定したストリクト HTTP インスペクションがデフォルトでイネーブルになります。インスペクションの失敗に応答して実行されるアクションは変更できますが、HTTP マップがイネーブルになっている限り、ストリクト インスペクションはディセーブルにできません。


 

次に、HTTP トラフィックを識別し、HTTP マップを定義して、ポリシーを定義し、外部インターフェイスにポリシーを適用する例を示します。

hostname(config)# class-map http-port
hostname(config-cmap)# match port tcp eq 80
hostname(config-cmap)# exit
hostname(config)# http-map inbound_http
hostname(config-http-map)# content-length min 100 max 2000 action reset log
hostname(config-http-map)# content-type-verification match-req-rsp reset log
hostname(config-http-map)# max-header-length request bytes 100 action log reset
hostname(config-http-map)# max-uri-length 100 action reset log
hostname(config-http-map)# exit
hostname(config)# policy-map inbound_policy
hostname(config-pmap)# class http-port
hostname(config-pmap-c)# inspect http inbound_http
hostname(config-pmap-c)# exit
hostname(config-pmap)# exit
hostname(config)# service-policy inbound_policy interface outside
 

この例では、適応型セキュリティ アプライアンスは次のコンテンツを含むトラフィックを検出したときに、接続をリセットして Syslog エントリを作成します。

100 バイト未満または 2000 バイトを超えるメッセージ

サポートされていないコンテンツ タイプ

100 バイトを超える HTTP ヘッダー

100 バイトを超える URI

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug appfw

HTTP アプリケーション インスペクションに関する詳細情報を表示します。

debug http-map

HTTP マップに関連付けられているトラフィックに関する詳細情報を表示します。

http-map

拡張 HTTP インスペクションを設定するための HTTP マップを定義します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

inspect icmp

ICMP インスペクション エンジンを設定するには、クラス コンフィギュレーション モード inspect icmp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。

inspect icmp

no inspect icmp

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

ICMP インスペクション エンジンを使用すると、TCP や UDP トラフィックのように ICMP トラフィックを検査できます。ICMP インスペクション エンジンを使用しない場合は、ACL で ICMP による適応型セキュリティ アプライアンスの通過を禁止することを推奨します。ステートフル インスペクションを実行していない場合、ICMP がネットワーク攻撃に使用される可能性があります。ICMP インスペクション エンジンにより、それぞれの要求に対して 1 つの応答しか返されなくなり、正確なシーケンス番号が設定されるようになります。

ICMP インスペクションがディセーブルの場合(デフォルト設定)、セキュリティの低いインターフェイスからセキュリティの高いインターフェイスへの ICMP エコー応答メッセージは、ICMP エコー要求への応答であっても拒否されます。

次の例に示すように、ICMP アプリケーション インスペクション エンジンをイネーブルにします。この例では、ICMP プロトコル ID(IPv4 の場合は 1、IPv6 の場合は 58)を使用して ICMP トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map icmp-class
hostname(config-cmap)# match default-inspection-traffic
hostname(config-cmap)# exit
hostname(config)# policy-map icmp_policy
hostname(config-pmap)# class icmp-class
hostname(config-pmap-c)# inspect icmp
hostname(config-pmap-c)# exit
hostname(config)# service-policy icmp_policy interface outside
 

すべてのインターフェイスに対して ICMP インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

icmp

適応型セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックに対して、アクセス ルールを設定します。

policy-map

セキュリティ アクションを 1 つまたは複数のトラフィック クラスに関連付けるポリシーを定義します。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect icmp error

ICMP エラー メッセージに対してアプリケーション インスペクションをイネーブルにするには、クラス コンフィギュレーション モード inspect icmp error コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。

inspect icmp error

no inspect icmp error

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

スタティック/NAT コンフィギュレーションに基づいて、ICMP エラー メッセージを送信する中間ホップの xlate を作成するには、 inspect icmp error コマンドを使用します。デフォルトでは、セキュリティ アプライアンスでは中間ホップの IP アドレスは表示されません。ただし、inspect icmp error コマンドを使用すると、中間ホップの IP アドレスが表示されるようになります。適応型セキュリティ アプライアンスは変換された IP アドレスでパケットを上書きします。

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスのソフトウェアでは、パス MTU 探索またはホップバイホップ ディスカバリに関する ICMP エラー メッセージの生成時に、出力インターフェイス アドレスを送信元アドレスとして使用します。 inspect icmp error コマンドを使用して ICMP エラー メッセージのアプリケーション インスペクションをイネーブルにすると、NAT もまたこの送信元アドレスに単独で適用されます。

イネーブルになっている場合、ICMP エラー インスペクション エンジンによって次のように ICMP パケットが変更されます。

IP ヘッダーで、NAT IP が Client IP(宛先アドレスおよび中間ホップ アドレス)に変更され、IP チェックサムが変更されます。

ICMP ヘッダーで、ICMP チェックサムが ICMP パケットの変更に応じて変更されます。

ペイロードで、次の変更が行われます。

元のパケットの NAT IP が Client IP に変更されます。

元のパケットの NAT ポートが Client Port に変更されます。

元のパケットの IP チェックサムが再計算されます。

ICMP エラー インスペクションがイネーブルかどうかに関係なく、ICMP エラー メッセージが取得されると、ICMP ペイロードがスキャンされ、元のパケットから 5 つのタプル(送信元 IP、宛先 IP、送信元ポート、宛先ポート、および IP プロトコル)が取得されます。クライアントの元のアドレスを確認し、特定の 5 つのタプルに関連付けられている既存のセッションを検索するために、取得した 5 つのタプルを使用してルックアップが実行されます。セッションが見つからなかった場合、ICMP エラー メッセージはドロップされます。

次の例に示すように、ICMP エラー アプリケーション インスペクション エンジンをイネーブルにします。この例では、ICMP プロトコル ID(IPv4 の場合は 1、IPv6 の場合は 58)を使用して ICMP トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map icmp-class
hostname(config-cmap)# match default-inspection-traffic
hostname(config-cmap)# exit
hostname(config)# policy-map icmp_policy
hostname(config-pmap)# class icmp-class
hostname(config-pmap-c)# inspect icmp error
hostname(config-pmap-c)# exit
hostname(config)# service-policy icmp_policy interface outside
 

すべてのインターフェイスに対して ICMP エラー インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

icmp

適応型セキュリティ アプライアンス インターフェイスで終端する ICMP トラフィックに対して、アクセス ルールを設定します。

inspect icmp

ICMP インスペクション エンジンをイネーブルまたはディセーブルにします。

policy-map

セキュリティ アクションを 1 つまたは複数のトラフィック クラスに関連付けるポリシーを定義します。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect ils

ILS アプリケーション インスペクションをイネーブルにするには、クラス コンフィギュレーション モードで inspect ils コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect ils

no inspect ils

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

inspect ils コマンドは、LDAP を使用してディレクトリ情報を ILS サーバと交換する Microsoft NetMeeting、SiteServer、および Active Directory 製品に対する NAT のサポートを提供します。

適応型セキュリティ アプライアンスでは ILS の NAT をサポートしており、ILS は ILS または SiteServer Directory 内のエンドポイントの登録および検索に使用されます。LDAP データベースには IP アドレスしか格納されないため、PAT はサポートされていません。

LDAP サーバが外部にある場合、検索応答を実行するには、NAT を使用して、外部 LDAP サーバに登録されている内部ピアがローカルに通信できるようにすることを考慮する必要があります。このような検索応答では、xlate が最初に検索され、次に DNAT エントリが検索されて正しいアドレスが取得されます。これら両方の検索に失敗した場合、アドレスは変更されません。NAT 0 を使用しており(つまり NAT を使用しない)、DNAT 対話を想定していないサイトでは、パフォーマンスを向上させるためにインスペクション エンジンをオフにすることを推奨します。

ILS サーバが適応型セキュリティ アプライアンス境界の内側にある場合、追加の設定が必要になることがあります。この場合は、指定したポート(通常、TCP 389)上で外部クライアントが LDAP サーバにアクセスするためのホールが必要です。

ILS トラフィックはセカンダリ UDP チャネルでのみ発生するため、TCP 接続は TCP の非アクティビティ間隔が経過した後、切断されます。この間隔のデフォルトは 60 分で、 timeout コマンドを使用して調整できます。

ILS/LDAP はクライアント/サーバ モデルに従っており、セッションは単一の TCP 接続上で処理されます。これらのセッションの一部は、クライアントのアクションに応じて作成される場合があります。

接続のネゴシエーション時に、クライアントからサーバに BIND PDU が送信されます。サーバからの BIND RESPONSE が正常に受信されると、その他の操作メッセージが交換され(ADD、DEL、SEARCH、MODIFY など)、ILS Directory で操作が実行されます。ADD REQUEST および SEARCH RESPONSE PDU には、H.323(SETUP および CONNECT メッセージ)が NetMeeting セッションの確立に使用する NetMeeting ピアの IP アドレスが含まれる場合があります。Microsoft NetMeeting v2.X および v3.X では、ILS のサポートが提供されています。

ILS インスペクションでは、次の操作を実行します。

BER デコード機能を使用して、LDAP REQUEST/RESPONSE PDU をデコードします。

LDAP パケットを解析します。

IP アドレスを抽出します。

必要に応じて、IP アドレスを変換します。

BER エンコード機能を使用して、変換後のアドレスで PDU をエンコードします。

新たにエンコードした PDU を TCP パケットにコピーします。

TCP チェックサムとシーケンス番号の差分調整を実行します。

ILS インスペクションには、次の制限があります。

照会の要求および応答はサポートされていません。

複数ディレクトリのユーザは統合されません。

複数ディレクトリに複数の ID を持つ単一ユーザは、NAT で認識できません。


) H225 コール シグナリング トラフィックはセカンダリ UDP チャネルでのみ発生するため、TCP 接続は TCP timeout コマンドで指定した間隔が経過した後、切断されます。デフォルトでは、この間隔は 60 分に設定されています。


次の例に示すように、ILS インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(389)上の ILS トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map ils-port
hostname(config-cmap)# match port tcp eq 389
hostname(config-cmap)# exit
hostname(config)# policy-map ils_policy
hostname(config-pmap)# class ils-port
hostname(config-pmap-c)# inspect ils
hostname(config-pmap-c)# exit
hostname(config)# service-policy ils_policy interface outside
 

すべてのインターフェイスに対して ILS インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug ils

ILS のデバッグ情報をイネーブルにします。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect im

IM トラフィックのインスペクションをイネーブルにするには、クラス コンフィギュレーション モード inspect im コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect im map_name

no inspect im map_name

 
構文の説明

map_name

IM マップの名前。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

inspect im コマンドは、IM プロトコルに対するアプリケーション インスペクションをイネーブルまたはディセーブルにします。

次に、IM インスペクション ポリシー マップを定義する例を示します。

hostname(config)# regex loginname1 “ying\@yahoo.com”
hostname(config)# regex loginname2 “Kevin\@yahoo.com”
hostname(config)# regex loginname3 “rahul\@yahoo.com”
hostname(config)# regex loginname4 “darshant\@yahoo.com”
hostname(config)# regex yahoo_version_regex “1\.0”
hostname(config)# regex gif_files “.*\.gif”
hostname(config)# regex exe_files “.*\.exe”
 
hostname(config)# class-map type regex match-any yahoo_src_login_name_regex
hostname(config-cmap)# match regex loginname1
hostname(config-cmap)# match regex loginname2
 
hostname(config)# class-map type regex match-any yahoo_dst_login_name_regex
hostname(config-cmap)# match regex loginname3
hostname(config-cmap)# match regex loginname4
 
hostname(config)# class-map type inspect im match-any yahoo_file_block_list
hostname(config-cmap)# match filename regex gif_files
hostname(config-cmap)# match filename regex exe_files
 
hostname(config)# class-map type inspect im match-all yahoo_im_policy
hostname(config-cmap)# match login-name regex class yahoo_src_login_name_regex
hostname(config-cmap)# match peer-login-name regex class yahoo_dst_login_name_regex
 
hostname(config)# class-map type inspect im match-all yahoo_im_policy2
hostname(config-cmap)# match version regex yahoo_version_regex
 
hostname(config)# class-map im_inspect_class_map
hostname(config-cmap)# match default-inspection-traffic
 
hostname(config)# policy-map type inspect im im_policy_all
hostname(config-pmap)# class yahoo_file_block_list
hostname(config-pmap-c)# match service file-transfer
hostname(config-pmap)# class yahoo_im_policy
hostname(config-pmap-c)# drop-connection
hostname(config-pmap)# class yahoo_im_policy2
hostname(config-pmap-c)# reset
hostname(config)# policy-map global_policy_name
hostname(config-pmap)# class im_inspect_class_map
hostname(config-pmap-c)# inspect im im_policy_all
 

 
関連コマンド

コマンド
説明

class

ポリシー マップ内のクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

match protocol

インスペクション クラスまたはポリシー マップ内の特定の IM プロトコルを照合します。

inspect ip-options

パケット内の IP オプションのインスペクションをイネーブルにするには、クラスまたはポリシー マップ タイプ インスペクション コンフィギュレーション モード inspect ip-options コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect ip-options map_name

no inspect ip-options map_name

 
構文の説明

map_name

IP オプション マップの名前。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシーまたはクラス マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

パケットの IP ヘッダーには Options フィールドが含まれています。Options フィールドは一般に IP オプションと呼ばれ、一部の状況には必要だが通常のほとんどの通信には不要な制御機能を提供します。特に、IP オプションにはタイムスタンプ、セキュリティ、および特別なルーティングに対するプロビジョニングが含まれています。IP オプションの使用は任意であり、フィールドにはゼロまたは 1 つ以上の数のオプションを含めることができます。

特定の IP オプションを持つどの IP パケットが適応型セキュリティ アプライアンスを通過できるかを制御するために、IP オプション インスペクションを設定できます。このインスペクションを設定することにより、適応型セキュリティ アプライアンスに対して、パケットの通過を許可したり、指定した IP オプションをクリアしてからパケットの通過を許可したりするように指示できます。

IP オプション インスペクションでは、パケット内の次の 3 つの IP オプションをチェックできます。

End of Options List(EOOL; オプション リストの終端)または IP Option 0:このオプションは、1 バイトのゼロのみを含み、すべてのオプションの終端に配置されて、オプションのリストの終端を示します。この位置は、ヘッダー長に対応したヘッダーの終端とは一致しない場合があります。

No Operation(NOP)または IP Option 1:IP ヘッダーの Options フィールドには、ゼロまたは 1 つ以上のオプションを含めることができ、フィールドの合計の長さは可変になっています。ただし、IP ヘッダーは、32 ビットの倍数である必要があります。全オプションのビット数が 32 ビットの倍数でない場合、オプションを 32 ビットの境界にあわせるために NOP オプションが「内部の詰め物」として使用されます。

Router Alert(RTRALT)または IP Option 20:このオプションは、中継ルータに、パケットの宛先がそのルータでなくてもパケットのコンテンツを検査するように通知します。このインスペクションは、RSVP プロトコルおよび類似プロトコルの実装において、パケット配信パス上のルータからの比較的複雑な処理が必要となる場合に有用です。

これら 3 つの IP オプションのインスペクションを設定するには、ポリシー マップ タイプ インスペクション コンフィギュレーション モードで parameter コマンドを使用します。これらのコマンドの構文の詳細については、 eool nop 、および router-alert コマンドのページを参照してください。


) IP オプション インスペクションは、デフォルトでは、グローバル インスペクション ポリシーに含まれています。そのため、適応型セキュリティ アプライアンスがルーテッド モードの場合、Router Alert オプション(オプション 20)を指定したパケットを含む RSVP トラフィックが適応型セキュリティ アプライアンスによって許可されます。


Router Alert オプションを含む RSVP パケットをドロップすると、VoIP の実装で問題が発生する可能性があります。

IP ヘッダーの Router Alert をクリアするように適応型セキュリティ アプライアンスを設定すると、IP ヘッダーは次のように変更されます。

フィールドが 32 ビットの境界で終わるように、Options フィールドに詰め物が入れられます。

Internet Header Length(IHL; インターネット ヘッダー長)が変更されます。

パケットの全体の長さが変更されます。

チェックサムが再計算されます。

IP ヘッダーに EOOL、NOP、または RTRALT 以外のオプションが含まれていた場合、これらのオプションを許可するように適応型セキュリティ アプライアンスが設定されているかどうかに関係なく、適応型セキュリティ アプライアンスはパケットをドロップします。

次に、パケット ヘッダーに EOOL、NOP、および RTRALT オプションを含むパケットを適応型セキュリティ アプライアンスが通過させるように IP オプション インスペクション ポリシー マップを定義する例を示します。

hostname(config)# policy-map type inspect ip-options ip-options-map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# eool action allow
hostname(config-pmap-p)# nop action allow
hostname(config-pmap-p)# router-alert action allow
 

clear コマンドを入力すると、適応型セキュリティ アプライアンスを介してパケットを許可する前に、パケットから IP オプションをクリアします。

 
関連コマンド

コマンド
説明

class

ポリシー マップ内のクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

inspect ipsec-pass-thru

IPSec Pass Thru インスペクションをイネーブルにするには、クラス マップ コンフィギュレーション モード inspect ipsec-pass-thru コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect ipsec-pass-thru [ map_name ]

no inspect ipsec-pass-thru [ map_name ]

 
構文の説明

map_name

(任意)IPSec Pass Thru マップの名前。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

inspect ipsec-pass-thru コマンドは、アプリケーション インスペクションをイネーブルまたはディセーブルにします。IPSec Pass Through アプリケーション インスペクションによって、IKE UDP ポート 500 接続に関連付けられた ESP(IP プロトコル 50)トラフィックか AH(IP プロトコル 51)トラフィックまたはその両方の便利なトラバーサルが提供されます。これにより、ESP および AH トラフィックを許可するアクセス リスト コンフィギュレーションが長くなるのを回避でき、さらにタイムアウトおよび最大接続数を使用したセキュリティが提供されます。

インスペクションのパラメータの定義に使用する特定のマップを識別するには、IPSec Pass Through パラメータ マップを使用します。パラメータ コンフィギュレーションにアクセスするには、policy-map type inspect コマンドを使用します。このコンフィギュレーションで、ESP または AH トラフィックの制限を指定できます。パラメータ コンフィギュレーションでは、クライアント別の最大接続数およびアイドル タイムアウトを設定できます。

class-map、policy-map、および service-policy の各コマンドを使用してトラフィックのクラスを定義し、inspect コマンドをクラスに適用して、ポリシーを 1 つまたは複数のインターフェイスに適用します。定義したパラメータ マップは、inspect IPSec-pass-thru コマンドで使用されたときにイネーブルになります。

NAT および非 NAT トラフィックが許可されています。ただし、PAT はサポートされていません。


) ASA 7.0 では、inspect ipsec-pass-thru コマンドは ESP トラフィックの通過のみ許可していました。最新バージョンで同じ動作を保持するために、inspect ipsec-pass-thru コマンドが引数なしで指定されている場合は、ESP を許可するデフォルト マップが作成され、付加されます。このマップは show running-config all コマンドの出力で確認できます。


次に、アクセス リストを使用して IKE トラフィックを識別し、IPSec Pass Thru パラメータ マップを定義して、ポリシーを定義し、外部インターフェイスにポリシーを適用する例を示します。

hostname(config)# access-list ipsecpassthruacl permit udp any any eq 500
hostname(config)# class-map ipsecpassthru-traffic
hostname(config-cmap)# match access-list ipsecpassthruacl
hostname(config)# policy-map type inspect ipsec-pass-thru iptmap
hostname(config-pmap)# parameters
hostname(config-pmap-p)# esp per-client-max 10 timeout 0:11:00
hostname(config-pmap-p)# ah per-client-max 5 timeout 0:06:00
hostname(config)# policy-map inspection_policy
hostname(config-pmap)# class ipsecpassthru-traffic
hostname(config-pmap-c)# inspect ipsec-pass-thru iptmap
hostname(config)# service-policy inspection_policy interface outside
 

 
関連コマンド

コマンド
説明

class

ポリシー マップ内のクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

match protocol

インスペクション クラスまたはポリシー マップ内の特定の IM プロトコルを照合します。

inspect mgcp

MGCP アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect mgcp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect mgcp [ map_name ]

no inspect mgcp [ map_name ]

 
構文の説明

map_name

(任意)MGCP マップの名前。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

MGCP を使用するには、通常、2 つ以上の inspect コマンドを設定する必要があります。1 つはゲートウェイがコマンドを受信するポート用で、もう 1 つはコール エージェントがコマンドを受信するポート用です。一般的に、コール エージェントはゲートウェイのデフォルト MGCP ポート 2427 にコマンドを送信し、ゲートウェイはコール エージェントのデフォルト MGCP ポート 2727 にコマンドを送信します。

MGCP は、メディア ゲートウェイ コントローラまたはコール エージェントと呼ばれる外部コール制御要素からメディア ゲートウェイを制御するために使用されます。メディア ゲートウェイは、通常、電話回線で伝送されるオーディオ信号と、インターネットまたは他のパケット ネットワークで伝送されるデータ パケットの間の変換を行うネットワーク要素です。MGCP で NAT および PAT を使用すると、限定された外部(グローバル)アドレス セットで内部ネットワーク上の多数のデバイスをサポートできます。

次に、メディア ゲートウェイの例を示します。

トランキング ゲートウェイ。電話ネットワークと Voice over IP ネットワーク間のインターフェイスを行います。このようなゲートウェイでは、一般的に、大量のデジタル回線を管理します。

レジデンシャル ゲートウェイ。Voice over IP ネットワークに従来のアナログ(RJ11)インターフェイスを提供します。レジデンシャル ゲートウェイの例としては、ケーブル モデム/ケーブル セットトップ ボックス、xDSL デバイス、ブロードバンド ワイヤレス デバイスなどがあります。

ビジネス ゲートウェイ。Voice over IP ネットワークに従来のデジタル PBX インターフェイスまたは統合 ソフト PBX インターフェイスを提供します。

MGCP メッセージは UDP を介して送信されます。応答はコマンドの送信元アドレス(IP アドレスおよび UDP ポート番号)に送信されますが、コマンドの送信先とは異なるアドレスから到着する場合があります。これは、フェールオーバー コンフィギュレーションで複数のコール エージェントが使用されており、コマンドを受信したコール エージェントがバックアップ コール エージェントに制御を渡した後、バックアップ コール エージェントが応答を送信した場合に発生する可能性があります。


) MGCP コール エージェントは AUEP メッセージを送信して、MGCP エンド ポイントが存在するかどうかを確認します。これにより、適応型セキュリティ アプライアンスを通過するフローが確立され、MGCP エンド ポイントがコール エージェントに登録されるようになります。


1 つ以上のコール エージェントおよびゲートウェイの IP アドレスを設定するには、MGCP マップ コンフィギュレーション モードで call-agent および gateway コマンドを使用します。コマンド キューで一度に許可される MGCP コマンドの最大数を指定するには、MGCP マップ コンフィギュレーション モードで command-queue コマンドを使用します。

シグナリング メッセージのインスペクション

シグナリング メッセージのインスペクションでは、多くの場合、 inspect mgcp コマンドでメディア エンドポイント(IP 電話など)の場所を特定する必要があります。

この情報は、メディア トラフィックのためのアクセス コントロールと NAT 状態を準備して、手動での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。

これらの場所を特定するときに、 inspect mgcp コマンドではトンネル デフォルト ゲートウェイ ルートを 使用しません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect mgcp コマンドが必要となる場合は、トンネル デフォルト ゲートウェイ ルートを設定しないようにしてください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。

次に、MGCP トラフィックを指定し、MGCP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する例を示します。この例では、デフォルト ポート(2427 および 2727)上の MGCP トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# access-list mgcp_acl permit tcp any any eq 2427
hostname(config)# access-list mgcp_acl permit tcp any any eq 2727
hostname(config)# class-map mgcp_port
hostname(config-cmap)# match access-list mgcp_acl
hostname(config-cmap)# exit
hostname(config)# mgcp-map inbound_mgcp
hostname(config-mgcp-map)# call-agent 10.10.11.5 101
hostname(config-mgcp-map)# call-agent 10.10.11.6 101
hostname(config-mgcp-map)# call-agent 10.10.11.7 102
hostname(config-mgcp-map)# call-agent 10.10.11.8 102
hostname(config-mgcp-map)# gateway 10.10.10.115 101
hostname(config-mgcp-map)# gateway 10.10.10.116 102
hostname(config-mgcp-map)# gateway 10.10.10.117 102
hostname(config-mgcp-map)# command-queue 150
hostname(config-mgcp-map)# exit
hostname(config)# policy-map inbound_policy
hostname(config-pmap)# class mgcp_port
hostname(config-pmap-c)# inspect mgcp mgcp-map inbound_mgcp
hostname(config-pmap-c)# exit
hostname(config)# service-policy inbound_policy interface outside
 

このコンフィギュレーションでは、コール エージェント 10.10.11.5 および 10.10.11.6 でゲートウェイ 10.10.10.115 を制御し、コール エージェント 10.10.11.7 および 10.10.11.8 で、10.10.10.116 と 10.10.10.117 の両方のゲートウェイを制御できるようにします。キューに入れることができる MGCP コマンドの最大数は 150 です。

すべてのインターフェイスに対して MGCP インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug mgcp

MGCP のデバッグ情報をイネーブルにします。

mgcp-map

MGCP マップを定義し、MGCP マップ コンフィギュレーション モードをイネーブルにします。

show mgcp

適応型セキュリティ アプライアンスを介して確立された MGCP セッションに関する情報を表示します。

timeout

さまざまなプロトコルおよびセッション タイプのアイドル状態の最大継続時間を設定します。

inspect mmp

MMP インスペクション エンジンを設定するには、クラス コンフィギュレーション モードで inspect mmp コマンドを使用します。

MMP インスペクションを削除するには、このコマンドの no 形式を使用します。

inspect mmp tls-proxy [name ]

no inspect mmp tls-proxy [ name ]

 
構文の説明

name

TLS プロキシ インスタンス名を指定します。

tls-proxy

MMP インスペクションに対して TLS プロキシをイネーブルにします。MMP プロトコルではさらに TCP トランスポートも使用できますが、CUMA クライアントでは TLS トランスポートしかサポートしていません。そのため、MMP インスペクションをイネーブルにするには tls-proxy キーワードが必要です。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

ASA には、CUMA Mobile Multiplexing Protocol(MMP)を検証するインスペクション エンジンが含まれています。MMP は、CUMA クライアントとサーバ間でデータ エンティティを送信するためのデータ トランスポート プロトコルです。ASA が CUMA クライアントとサーバの間に配置されており、MMP パケットのインスペクションが必要な場合は、 inspect mmp コマンドを使用します。

MMP トラフィックは TLS 接続でしか転送できないため、MMP インスペクションは TLS プロキシとともにイネーブルにする必要があります。

次に、 inspect mmp コマンドを使用して MMP トラフィックを検査する例を示します。

hostname(config)# class-map mmp
hostname(config-cmap)# match port tcp eq 5443
hostname(config-cmap)# exit
hostname(config)# policy-map mmp-policy
hostname(config-pmap)# class mmp
hostname(config-pmap-c)# inspect mmp tls-proxy myproxy
hostname(config-pmap-c)# exit
hostname(config-pmap)# exit
hostname(config)# service-policy mmp-policy interface outside
 

 
関連コマンド

コマンド
説明

tls-proxy

TLS プロキシ インスタンスを設定します。

debug mmp

MMP イベントのインスペクションを表示します。

inspect netbios

NetBIOS アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect netbios コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect netbios [ map_name ]

no inspect netbios [ map_name ]

 
構文の説明

map_name

(任意)NetBIOS マップの名前。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

inspect netbios コマンドは、NetBIOS プロトコルに対するアプリケーション インスペクションをイネーブルまたはディセーブルにします。

次に、NetBIOS インスペクション ポリシー マップを定義する例を示します。

hostname(config)# policy-map type inspect netbios netbios_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# protocol-violation drop
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect pptp

PPTP アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect pptp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect pptp

no inspect pptp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

Point-to-Point Tunneling Protocol(PPTP)は、PPP トラフィックをトンネリングするためのプロトコルです。PPTP セッションは、1 つの TCP チャネルと、通常 2 つの PPTP GRE トンネルで構成されます。TCP チャネルは、PPTP GRE トンネルのネゴシエーションおよび管理に使用されるコントロール チャネルです。GRE トンネルは、2 つのホスト間で PPP セッションを伝送します。

イネーブルになっている場合、PPTP アプリケーション インスペクションは PPTP プロトコル パケットを検査し、PPTP トラフィックの許可に必要な GRE 接続および xlate をダイナミックに作成します。RFC 2637 で規定されているバージョン 1 だけがサポートされています。

PAT は、GRE の修正バージョン(RFC 2637)に対してのみ、PPTP TCP コントロール チャネルを介してネゴシエートされる場合に実行されます。ポート アドレス変換は、GRE の修正前バージョン(RFC 1701、RFC 1702)に対しては実行されません。

具体的には、 適応型セキュリティ アプライアンス は PPTP バージョンのアナウンスメントと発信コールの要求/応答シーケンスを検査します。RFC 2637 で規定されている PPTP バージョン 1 だけが検査されます。いずれかの側でアナウンスされたバージョンがバージョン 1 ではなかった場合、それ以降の TCP コントロール チャネルのインスペクションはディセーブルになります。さらに、発信コールの要求と応答のシーケンスが追跡されます。接続および xlate が必要に応じてダイナミックに割り当てられ、後続のセカンダリ GRE データ トラフィックが許可されます。

PPTP トラフィックを PAT で変換するには、PPTP インスペクション エンジンをイネーブルにする必要があります。さらに PAT は、GRE の修正バージョン(RFC 2637)に対してだけ実行されます。これは、PPTP TCP コントロール チャネルを介してネゴシエートされる場合だけです。PAT は、GRE の修正前バージョン(RFC 1701 および RFC 1702)に対しては実行されません。

RFC 2637 に記載されているように、PPTP プロトコルは主に、モデム バンク PPTP Access Concentrator(PAC; PPTP アクセス コンセントレータ)で開始された PPP セッションをヘッドエンド PPTP Network Server(PNS; PPTP ネットワーク サーバ)にトンネリングするために使用されます。このように使用される場合、PAC がリモート クライアントになり、PNS がサーバになります。

ただし、Windows によって VPN 用に使用される場合は、相互の関係が逆になります。PNS は、ヘッドエンド PAC への接続を開始して中央ネットワークへのアクセスを取得するリモートのシングルユーザ PC となります。

次の例に示すように、PPTP インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(1723)上の PPTP トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map pptp-port
hostname(config-cmap)# match port tcp eq 1723
hostname(config-cmap)# exit
hostname(config)# policy-map pptp_policy
hostname(config-pmap)# class pptp-port
hostname(config-pmap-c)# inspect pptp
hostname(config-pmap-c)# exit
hostname(config)# service-policy pptp_policy interface outside
 

すべてのインターフェイスに対して PPTP インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug pptp

PPTP のデバッグ情報をイネーブルにします。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect radius-accouting

RADIUS アカウンティング インスペクションをイネーブルまたはディセーブルにしたり、トラフィックまたはトンネルを制御するためのマップを定義したりするには、クラス コンフィギュレーション モード inspect radius-accounting コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコマンドを削除するには、このコマンドの no 形式を使用します。

inspect radius-accounting [ map_name ]

no inspect radius-accounting [ map_name ]

 
構文の説明

map_name

(任意)RADIUS アカウンティング マップの名前。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

RADIUS アカウンティングのパラメータの定義に使用する特定のマップを作成するには、 radius-accounting コマンドを使用します。このコマンドを入力すると、コンフィギュレーション モードが開始され、個々のマップを定義するためのさまざまなコマンドを入力できるようになります。基準を満たさないメッセージに対して指定できるアクションは、 send host validate-attribute enable gprs 、および timeout users などのさまざまなコンフィギュレーション コマンドを使用して設定します。これらのコマンドには、 parameter モードからアクセスできます。

RADIUS アカウンティング マップを定義した後、 inspect gtp コマンドを使用してマップをイネーブルにします。 class-map policy-map 、および service-policy の各コマンドを使用して、トラフィックのクラスを定義し、inspect コマンドをクラスに適用し、ポリシーを 1 つまたは複数のインターフェイスに適用します。


inspect radius-accounting コマンドは、class-map type management コマンドとのみ使用できます。


次に、アクセス リストを使用して RADIUS アカウンティング トラフィックを識別し、RADIUS アカウンティング マップを定義して、ポリシーを定義し、外部インターフェイスにポリシーを適用する例を示します。

hostname(config)# policy-map type inspect radius-accountin ra

) この例では、デフォルト値で RADIUS アカウンティング インスペクションをイネーブルにします。デフォルト値を変更するには、parameters コマンドのページと、RADIUS アカウンティング コンフィギュレーション モードで入力する各コマンドのコマンド ページを参照してください。


 
関連コマンド

コマンド
説明

parameters

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

class-map type management

アクションを適用する適応型セキュリティ アプライアンス宛てのレイヤ 3 またはレイヤ 4 管理トラフィックを識別します。

show service-policy および clear service-policy

サービス ポリシー設定の表示とクリアを行います。

debug inspect radius-accounting

RADIUS アカウンティング インスペクションをデバッグします。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect rsh

RSH アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モードで inspect rsh コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect rsh

no inspect rsh

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

RSH プロトコルは、TCP ポート 514 上で、RSH クライアントから RSH サーバへの TCP 接続を使用します。クライアントとサーバは、クライアントが STDERR 出力ストリームをリッスンする TCP ポート番号をネゴシエートします。RSH インスペクションでは、必要に応じて、ネゴシエートされたポート番号の NAT をサポートします。

次の例に示すように、RSH インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(514)上の RSH トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map rsh-port
hostname(config-cmap)# match port tcp eq 514
hostname(config-cmap)# exit
hostname(config)# policy-map rsh_policy
hostname(config-pmap)# class rsh-port
hostname(config-pmap-c)# inspect rsh
hostname(config-pmap-c)# exit
hostname(config)# service-policy rsh_policy interface outside
 

すべてのインターフェイスに対して RSH インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect rtsp

RTSP アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect rtsp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect rtsp [ map_name ]

no inspect rtsp [ map_name ]

 
構文の説明

map_name

(任意)RTSP マップの名前。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

inspect rtsp コマンドを使用すると、適応型セキュリティ アプライアンスで RTSP パケットを通過させることができます。RTSP は、RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer、および Cisco IP/TV の各接続で使用されます。


) Cisco IP/TV では、RTSP TCP ポート 554 および TCP 8554 を使用します。


RTSP アプリケーションは、コントロール チャネルとして、既知のポート 554 と TCP(まれに UDP)を使用します。適応型セキュリティ アプライアンスでは、RFC 2326 に従って、TCP のみサポートしています。この TCP コントロール チャネルは、クライアントに設定されているトランスポート モードに応じて、オーディオ/ビデオ トラフィックの送信に使用されるデータ チャネルをネゴシエートするために使用されます。

サポートされている RDT トランスポートは、rtp/avp、rtp/avp/udp、x-real-rdt、x-real-rdt/udp、および x-pn-tng/udp です。

適応型セキュリティ アプライアンスは、ステータス コード 200 の Setup 応答メッセージを解析します。応答メッセージが着信の場合、サーバは適応型セキュリティ アプライアンスと比べて外側にあるため、サーバからの着信接続用にダイナミック チャネルを開く必要があります。応答メッセージが発信の場合、適応型セキュリティ アプライアンスでダイナミック チャネルを開く必要はありません。

RFC 2326 では、クライアントとサーバのポートを SETUP 応答メッセージ内に含める必要があるとは規定していないため、適応型セキュリティ アプライアンスで状態を保持し、SETUP メッセージに含まれているクライアント ポートを記憶しておく必要があります。QuickTime では SETUP メッセージにクライアント ポートが設定され、サーバはサーバ ポートでのみ応答します。

RealPlayer の使用方法

RealPlayer を使用する場合は、トランスポート モードを適切に設定することが重要です。適応型セキュリティ アプライアンスでは、サーバからクライアントまたはその逆の access-list コマンド ステートメントを追加します。RealPlayer では、[Options] > [Preferences] > [Transport] > [RTSP Settings] をクリックしてトランスポート モードを変更します。

RealPlayer で TCP モードを使用する場合は、[Use TCP to Connect to Server] および [Attempt to use TCP for all content] チェックボックスをオンにします。適応型セキュリティ アプライアンスでは、インスペクション エンジンを設定する必要はありません。

RealPlayer で UDP モードを使用する場合は、[Use TCP to Connect to Server] および [Attempt to use UDP for static content, and for live content not available via Multicast] チェックボックスをオンにします。適応型セキュリティ アプライアンスで、 inspect rtsp port コマンド ステートメントを追加します。

制約事項および制限事項

inspect rtsp コマンドに適用される制約事項は次のとおりです。

適応型セキュリティ アプライアンスでは、UDP を介したマルチキャスト RTSP または RTSP メッセージはサポートしていません。

適応型セキュリティ アプライアンスには、RTSP メッセージが HTTP メッセージ内に隠されている場合に HTTP クローキングを認識する機能はありません。

埋め込み IP アドレスは HTTP または RTSP メッセージの一部として SDP ファイルに格納されているため、適応型セキュリティ アプライアンスでは、RTSP メッセージに対して NAT を実行することはできません。パケットはフラグメント化できますが、適応型セキュリティ アプライアンスではフラグメント化されたパケットに対して NAT を実行することはできません。

Cisco IP/TV の場合、適応型セキュリティ アプライアンスがメッセージの SDP 部分に対して実行する NAT の数は、Content Manager のプログラム リストの数に比例します(プログラム リストごとに少なくとも 6 個の埋め込み IP アドレスを設定できます)。

Apple QuickTime 4 または RealPlayer 用の NAT を設定できます。Viewer および Content Manager が外部ネットワーク上にあり、サーバが内部ネットワーク上にある場合、Cisco IP/TV は、NAT が使用できる場合に限り動作します。

HTTP を介して配信されるメディア ストリームは、RTSP アプリケーション インスペクションではサポートされません。これは、RTSP インスペクションが HTTP クローキング(HTTP でラップされた RTSP)をサポートしていないためです。

次の例に示すように、RTSP インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(554 および 8554)上の RTSP トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# access-list rtsp-acl permit tcp any any eq 554
hostname(config)# access-list rtsp-acl permit tcp any any eq 8554
hostname(config)# class-map rtsp-traffic
hostname(config-cmap)# match access-list rtsp-acl
hostname(config-cmap)# exit
hostname(config)# policy-map rtsp_policy
hostname(config-pmap)# class rtsp-traffic
hostname(config-pmap-c)# inspect rtsp
hostname(config-pmap-c)# exit
hostname(config)# service-policy rtsp_policy interface outside
 

すべてのインターフェイスに対して RTSP インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug rtsp

RTSP のデバッグ情報をイネーブルにします。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect sip

SIP アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect sip コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect sip [sip_map] [tls-proxy proxy_name] [phone-proxy proxy_name]

no inspect sip [sip_map] [tls-proxy proxy_name] [phone-proxy proxy_name]

 
構文の説明

phone-proxy proxy_name

指定したインスペクション セッションの電話プロキシをイネーブルにします。

sip_map

SIP ポリシー マップ名を指定します。

tls-proxy proxy_name

指定したインスペクション セッションの TLS プロキシをイネーブルにします。キーワード tls-proxy は、レイヤ 7 ポリシー マップ名としては使用できません。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

SIP のデフォルトのポート割り当ては 5060 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

tls-proxy キーワードが追加されました。

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

SIP は、IETF で定義されているように、VoIP コールをイネーブルにします。SIP は SDP と連携して、コール シグナリングを行います。SDP はメディア ストリームの詳細を指定します。SIP を使用すると、適応型セキュリティ アプライアンスですべての SIP Voice over IP(VoIP)ゲートウェイおよび VoIP プロキシ サーバをサポートできます。SIP および SDP は、次の RFC で規定されています。

SIP:Session Initiation Protocol、RFC 2543

SDP:Session Description Protocol、RFC 2327

適応型セキュリティ アプライアンスを通過する SIP コールをサポートするには、メディア接続アドレス、メディア ポート、およびメディアに対する初期接続のシグナリング メッセージを検査する必要があります。これは、シグナリングが既知の宛先ポート(UDP/TCP 5060)を介して送信される一方で、メディア ストリームはダイナミックに割り当てられるためです。また、SIP は IP パケットのユーザデータ部分に IP アドレスを埋め込みます。SIP インスペクションでは、これらの埋め込み IP アドレスに対して NAT を適用します。


) リモート エンドポイントが、セキュリティ アプライアンスで保護されているネットワーク上の SIP プロキシに対して登録を試行すると、登録は非常に特殊な条件で失敗します。この条件とは、リモート エンドポイントに PAT が設定されていること、SIP レジストラ サーバが外部ネットワーク上にあること、およびエンドポイントによってプロキシ サーバに送信された REGISTER メッセージの contact フィールドにポートがないことです。


インスタント メッセージング

インスタント メッセージングとは、リアルタイムに近いユーザ間のメッセージ転送をいいます。次の RFC で規定されているように、MESSAGE/INFO 方式および 202 Accept 応答が IM のサポートに使用されます。

Session Initiation Protocol (SIP)-Specific Event Notification、RFC 3265

Session Initiation Protocol (SIP) Extension for Instant Messaging、RFC 3428

MESSAGE/INFO 要求は、登録/サブスクリプションの完了後いつでも受信できます。たとえば、2 人のユーザはいつでもオンライン状態になれますが、何時間もチャットするわけにはいきません。そのため、SIP インスペクション エンジンは、設定した SIP タイムアウト値に応じてタイムアウトするピンホールを開きます。この値はサブスクリプション期間よりも 5 分以上長く設定する必要があります。サブスクリプション期間は Contact Expires 値で定義され、通常は 30 分です。

MESSAGE/INFO 要求は、一般的に、ポート 5060 ではなくダイナミックに割り当てられたポートを使用して送信されるため、SIP インスペクション エンジンを通過することが要求されます。


) 現在は、チャット機能のみサポートされています。ホワイトボード、ファイル転送、およびアプリケーション共有はサポートされていません。RTC Client 5.0 はサポートされていません。


技術的詳細

SIP インスペクションは、SIP テキストベースのメッセージに対して NAT を実行し、メッセージの SDP 部分のコンテンツ長を再計算して、パケット長およびチェックサムを再計算します。また、エンドポイントがリッスンするアドレス/ポートとして SIP メッセージの SDP 部分に指定されているポートに対し、メディア接続をダイナミックに開きます。

SIP インスペクションには、コールと送信元および宛先を識別する SIP ペイロードの CALL_ID、FROM、TO インデックスが含まれるデータベースがあります。このデータベースに格納されるのは、SDP メディア情報フィールドに格納されていたメディア アドレスおよびメディア ポートと、メディア タイプです。1 つのセッションに対して複数のメディア アドレスおよびポートが存在する可能性があります。RTP/RTCP 接続は、これらのメディア アドレスおよびポートを使用して、2 つのエンドポイント間で開かれます。

最初のコール設定(INVITE)メッセージでは、既知のポート 5060 を使用する必要があります。ただし、後続のメッセージではこのポート番号を使用しないこともあります。SIP インスペクション エンジンはシグナリング接続のピンホールを開いて、これらの接続を SIP 接続としてマークします。この処理は、メッセージを SIP アプリケーションに到達させて、NAT を実行するために行われます。

コールが設定されると、SIP セッションは「一時的な」状態にあると見なされます。この状態は、宛先エンドポイントがリッスンしている RTP メディア アドレスとポートを示す Response メッセージが受信されるまで維持されます。1 分以内に応答メッセージを受信できなかった場合は、シグナリング接続が切断されます。

最後のハンドシェイクが行われると、コール状態はアクティブに移り、シグナリング接続は、BYE メッセージが受信されるまで維持されます。

内部エンドポイントから外部エンドポイントへのコールが開始されると、外部インターフェイスに対してメディア ホールが開かれ、内部エンドポイントからの INVITE メッセージで指定されている内部エンドポイントのメディア アドレスおよびメディア ポートに、RTP/RTCP UDP パケットを転送できるようになります。内部インターフェイスへの非請求 RTP/RTCP UDP パケットは、適応型セキュリティ アプライアンスのコンフィギュレーションで特別に許可されていない限り適応型セキュリティ アプライアンスを通過しません。

メディア接続は、接続がアイドル状態になってから 2 分以内に切断されます。ただし、このタイムアウトは設定可能であり、より短いまたはより長い期間に設定できます。

シグナリング メッセージのインスペクション

シグナリング メッセージのインスペクションでは、多くの場合、 inspect sip コマンドでメディア エンドポイント(IP 電話など)の場所を特定する必要があります。

この情報は、メディア トラフィックのためのアクセス コントロールと NAT 状態を準備して、手動での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。

これらの場所を特定するときに、 inspect sip コマンドではトンネル デフォルト ゲートウェイ ルートを 使用しません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect sip コマンドが必要となる場合は、トンネル デフォルト ゲートウェイ ルートを設定しないようにしてください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。

次の例に示すように、SIP インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(5060)上の SIP トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map sip-port
hostname(config-cmap)# match port tcp eq 5060
hostname(config-cmap)# exit
hostname(config)# policy-map sip_policy
hostname(config-pmap)# class sip-port
hostname(config-pmap-c)# inspect sip
hostname(config-pmap-c)# exit
hostname(config)# service-policy sip_policy interface outside
 

すべてのインターフェイスに対して SIP インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

show sip

適応型セキュリティ アプライアンスを介して確立された SIP セッションに関する情報を表示します。

debug sip

SIP のデバッグ情報をイネーブルにします。

show conn

さまざまな接続タイプの接続状態を表示します。

timeout

さまざまなプロトコルおよびセッション タイプのアイドル状態の最大継続時間を設定します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

inspect skinny

SCCP(Skinny)アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect skinny コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect skinny [skinny_map] [tls-proxy proxy_name] [phone-proxy proxy_name]

no inspect skinny [skinny_map] [tls-proxy proxy_name] [phone-proxy proxy_name]

 
構文の説明

phone-proxy proxy_name

指定したインスペクション セッションの電話プロキシをイネーブルにします。

skinny_map

skinny ポリシー マップ名を指定します。

tls-proxy proxy_name

指定したインスペクション セッションの TLS プロキシをイネーブルにします。キーワード tls-proxy は、レイヤ 7 ポリシー マップ名としては使用できません。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

キーワード tls-proxy が追加されました。

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

Skinny(または Simple)Client Control Protocol(SCCP)は、VoIP ネットワークで使用される簡易プロトコルです。SCCP を使用している Cisco IP Phone は H.323 環境で共存可能です。SCCP クライアントは、Cisco CallManager とともに使用することで、H.323 準拠の端末と相互運用できます。適応型セキュリティ アプライアンスのアプリケーション レイヤ機能は、SCCP バージョン 3.3 を認識します。アプリケーション レイヤ ソフトウェアの機能で、SCCP シグナリング パケットの NAT を提供することにより、すべての SCCP シグナリングおよびメディア パケットが適応型セキュリティ アプライアンスを通過できるようになります。

SCCP プロトコルには、2.4、3.0.4、3.1.1、3.2、および 3.3.2 の 5 つのバージョンがあります。適応型セキュリティ アプライアンスでは、バージョン 3.3.2 までのすべてのバージョンをサポートしています。適応型セキュリティ アプライアンスは、SCCP に対して PAT と NAT の両方のサポートを提供しています。IP 電話で使用するグローバル IP アドレスの数を制限している場合は、PAT が必要です。

Cisco CallManager と Cisco IP Phone 間の通常のトラフィックでは SCCP が使用され、特別なコンフィギュレーションがない限り SCCP インスペクションで処理されます。適応型セキュリティ アプライアンスでは、適応型セキュリティ アプライアンスで TFTP サーバの場所を Cisco IP Phone および他の DHCP クライアントに送信できるようにする、DHCP オプション 150 および 66 もサポートしています。詳細については、 dhcp-server コマンドを参照してください。

Cisco IP Phone のサポート

Cisco CallManager が Cisco IP Phone に対してよりセキュリティの高いインターフェイスに配置されているトポロジで、Cisco CallManager IP アドレスの NAT が必要な場合、Cisco IP Phone では Cisco CallManager IP アドレスをそのコンフィギュレーションで明確に指定する必要があるため、マッピングはスタティックにする必要があります。ID スタティック エントリを使用すると、よりセキュリティの高いインターフェイスに配置されている Cisco CallManager で Cisco IP Phone からの登録を受け付けられるようになります。

Cisco CallManager サーバへの接続に必要なコンフィギュレーション情報をダウンロードするために、Cisco IP Phone には TFTP サーバへのアクセス権が必要です。

Cisco IP Phone が TFTP サーバと比べてよりセキュリティの低いインターフェイスに配置されている場合、アクセス リストを使用して、保護されている TFTP サーバに UDP ポート 69 で接続する必要があります。TFTP サーバにはスタティック エントリが必要ですが、これは「ID」スタティック エントリである必要はありません。NAT を使用した場合、ID スタティック エントリは同じ IP アドレスにマッピングされます。PAT を使用した場合、同じ IP アドレスおよびポートにマッピングされます。

Cisco IP Phone が TFTP サーバおよび Cisco CallManager と比べてよりセキュリティの高いインターフェイスに配置されている場合、Cisco IP Phone で接続を開始できるようにするためにアクセス リストまたはスタティック エントリを使用する必要はありません。

制約事項および制限事項

次に、SCCP に対する現バージョンの PAT および NAT のサポートに適用される制限を示します。

PAT は、 alias コマンドを使用しているコンフィギュレーションでは動作しません。

外部 NAT または PAT はサポートされていません。


) SCCP コールのステートフル フェールオーバーは、コール設定の最中のコールを除いて、サポートされるようになりました。


内部 Cisco CallManager のアドレスが NAT または PAT 用に別の IP アドレスまたはポートに設定されている場合、適応型セキュリティ アプライアンスでは、現在、TFTP 経由で転送されるファイル コンテンツに対する NAT または PAT をサポートしていないため、外部 Cisco IP Phone の登録は失敗します。適応型セキュリティ アプライアンスでは TFTP メッセージの NAT をサポートしており、TFTP ファイルが適応型セキュリティ アプライアンスを通過するためのピンホールを開きますが、電話機の登録時に TFTP を使用して転送される Cisco IP Phone のコンフィギュレーション ファイルに埋め込まれた Cisco CallManager IP アドレスおよびポートは、適応型セキュリティ アプライアンスでは変換できません。

シグナリング メッセージのインスペクション

シグナリング メッセージのインスペクションでは、多くの場合、 inspect skinny コマンドでメディア エンドポイント(IP 電話など)の場所を特定する必要があります。

この情報は、メディア トラフィックのためのアクセス コントロールと NAT 状態を準備して、手動での設定なしでメディア トラフィックを透過的にファイアウォールを通過させるために使用されます。

これらの場所を特定するときに、 inspect skinny コマンドではトンネル デフォルト ゲートウェイ ルートを 使用しません 。トンネル デフォルト ゲートウェイのルートは、 route interface 0 0 metric tunneled という形式のルートです。このルートは、IPSec トンネルから出力されるパケットのデフォルト ルートを上書きします。そのため、VPN トラフィックに対して inspect skinny コマンドが必要となる場合は、トンネル デフォルト ゲートウェイ ルートを設定しないようにしてください。代わりに、他のスタティック ルーティングまたはダイナミック ルーティングを使用します。

次の例に示すように、SCCP インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(2000)上の SCCP トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map skinny-port
hostname(config-cmap)# match port tcp eq 2000
hostname(config-cmap)# exit
hostname(config)# policy-map skinny_policy
hostname(config-pmap)# class skinny-port
hostname(config-pmap-c)# inspect skinny
hostname(config-pmap-c)# exit
hostname(config)# service-policy skinny_policy interface outside
 

すべてのインターフェイスに対して SCCP インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug skinny

SCCP のデバッグ情報をイネーブルにします。

show skinny

適応型セキュリティ アプライアンスを介して確立された SCCP セッションに関する情報を表示します。

show conn

さまざまな接続タイプの接続状態を表示します。

timeout

さまざまなプロトコルおよびセッション タイプのアイドル状態の最大継続時間を設定します。

tls-proxy

TLS プロキシ インスタンスを定義し、最大セッション数を設定します。

inspect snmp

SNMP アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect snmp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect snmp map_name

no inspect snmp map_name

 
構文の説明

map_name

SNMP マップの名前。

 
デフォルト

このコマンドは、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

SNMP マップで指定した設定を使用して SNMP インスペクションをイネーブルにするには、inspect snmp コマンドを使用します。SNMP マップは snmp-map コマンドを使用して作成します。SNMP トラフィックを特定のバージョンの SNMP に制限するには、SNMP マップ コンフィギュレーション モードで deny version コマンドを使用します。

以前のバージョンの SNMP はセキュリティが低いため、SNMP トラフィックをバージョン 2 に制限するようにセキュリティ ポリシーで要求する場合があります。SNMP の特定のバージョンを拒否するには、 snmp-map コマンドを使用して作成する SNMP マップで、 deny version コマンドを使用します。SNMP マップを設定した後、 inspect snmp コマンドを使用してマップをイネーブルにし、 service-policy コマンドを使用して 1 つ以上のインターフェイスにこのマップを適用します。

次に、SNMP トラフィックを識別し、SNMP マップを定義して、ポリシーを定義し、SNMP インスペクションをイネーブルにして、外部インターフェイスにポリシーを適用する例を示します。

hostname(config)# access-list snmp-acl permit tcp any any eq 161
hostname(config)# access-list snmp-acl permit tcp any any eq 162
hostname(config)# class-map snmp-port
hostname(config-cmap)# match access-list snmp-acl
hostname(config-cmap)# exit
hostname(config)# snmp-map inbound_snmp
hostname(config-snmp-map)# deny version 1
hostname(config-snmp-map)# exit
hostname(config)# policy-map inbound_policy
hostname(config-pmap)# class snmp-port
hostname(config-pmap-c)# inspect snmp inbound_snmp
hostname(config-pmap-c)# exit
 

すべてのインターフェイスに対してストリクト snmp アプリケーション インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

deny version

特定のバージョンの SNMP を使用するトラフィックを拒否します。

snmp-map

SNMP マップを定義し、SNMP マップ コンフィギュレーション モードをイネーブルにします。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect sqlnet

Oracle SQL*Net アプリケーション インスペクションをイネーブルにするには、クラス コンフィギュレーション モード inspect sqlnet コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect sqlnet

no inspect sqlnet

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

デフォルトのポート割り当ては 1521 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、既存の前の fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

SQL*Net プロトコルはさまざまなパケット タイプで構成され、これらのパケット タイプは、適応型セキュリティ アプライアンスの両側にある Oracle アプリケーションにデータ ストリームが矛盾なく表示されるように適応型セキュリティ アプライアンスによって処理されます。

SQL*Net のデフォルトのポート割り当ては 1521 です。この値は Oracle for SQL*Net で使用される値ですが、Structured Query Language(SQL; 構造化照会言語)の IANA ポート割り当てとは一致していません。SQL*Net インスペクションをポート番号の範囲に適用するには、 class-map コマンドを使用します。


) SQL コントロールの TCP ポート 1521 と同じポートで SQL データ転送が発生する場合は、SQL*Net インスペクションをディセーブルにします。SQL*Net インスペクションがイネーブルになっている場合、セキュリティ アプライアンスはプロキシとして動作して、データ転送問題の原因となるクライアント ウィンドウのサイズを 65000 からおよそ 16000 に削減します。


適応型セキュリティ アプライアンスは、すべてのアドレスの NAT を実行し、パケット内のすべての埋め込みポートを検索して、SQL*Net バージョン 1 用に開きます。

SQL*Net バージョン 2 の場合、データ長がゼロの REDIRECT パケットのすぐ後に続くすべての DATA または REDIRECT パケットがフィックスアップされます。

フィックスアップが必要なパケットには、埋め込みホスト/ポート アドレスが次の形式で含まれています。

(ADDRESS=(PROTOCOL=tcp)(DEV=6)(HOST=a.b.c.d)(PORT=a))
 

SQL*Net バージョン 2 の TNSFrame タイプ(Connect、Accept、Refuse、Resend、および Marker)では、NAT 対象アドレスのスキャンは実行されません。また、インスペクションによって、パケット内の埋め込みポートに対するダイナミック接続が開かれることもありません。

SQL*Net バージョン 2 の TNSFrame、Redirect、および Data パケットでは、ペイロードのデータ長がゼロの REDIRECT TNSFrame タイプが直前にある場合、開くポートおよび NAT 対象アドレスのスキャンが実行されます。データ長がゼロの Redirect メッセージが適応型セキュリティ アプライアンスを通過すると、後続の Data または Redirect メッセージの NAT が実行され、ポートがダイナミックに開かれることを想定するフラグが接続データ構造に設定されます。前述の TNS フレームのいずれかが Redirect メッセージの後に到着すると、フラグはリセットされます。

SQL*Net インスペクション エンジンは、新しいメッセージと古いメッセージの長さの差分を使用して、チェックサムを再計算し、IP/TCP の長さを変更して、シーケンス番号および確認応答番号を再調整します。

その他のすべてのケースでは、SQL*Net バージョン 1 の使用が前提になっています。TNSFrame タイプ(Connect、Accept、Refuse、Resend、Marker、Redirect、および Data)とすべてのパケットで、ポートとアドレスのスキャンが実行されます。アドレスの NAT が実行され、ポート接続が開かれます。

次の例に示すように、SQL*Net インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(1521)上の SQL*Net トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map sqlnet-port
hostname(config-cmap)# match port tcp eq 1521
hostname(config-cmap)# exit
hostname(config)# policy-map sqlnet_policy
hostname(config-pmap)# class sqlnet-port
hostname(config-pmap-c)# inspect sqlnet
hostname(config-pmap-c)# exit
hostname(config)# service-policy sqlnet_policy interface outside
 

すべてのインターフェイスに対して SQL*Net インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug sqlnet

SQL*Net のデバッグ情報をイネーブルにします。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

show conn

SQL*net など、さまざまな接続タイプの接続状態を表示します。

inspect sunrpc

Sun RPC アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect sunrpc コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect sunrpc

no inspect sunrpc

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、 fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

Sun RPC アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、ポリシー マップ クラス コンフィギュレーション モード inspect sunrpc コマンドを使用します。このモードにアクセスするには、ポリシー マップ コンフィギュレーション モードで class コマンドを使用します。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect sunrpc コマンドは、Sun RPC プロトコルに対するアプリケーション インスペクションをイネーブルまたはディセーブルにします。Sun RPC は、NFS および NIS で使用されます。Sun RPC サービスはシステムの任意のポートで実行できます。クライアントがサーバ上の Sun RPC サービスにアクセスしようとする場合には、サービスが実行されているポートを検出する必要があります。これを行うには、既知のポート 111 でポートマッパー プロセスを照会します。

クライアントはサービスの Sun RPC プログラム番号を送信して、ポート番号を取得します。この時点より、クライアント プログラムは Sun RPC クエリーをその新しいポートに送信します。サーバから応答が送信されると、適応型セキュリティ アプライアンスはこのパケットを代行受信し、そのポートで TCP と UDP の両方の初期接続を開きます。


Sun RPC ペイロード情報の NAT または PAT はサポートされていません。


 

次の例に示すように、RPC インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(111)上の RPC トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map sunrpc-port
hostname(config-cmap)# match port tcp eq 111
hostname(config-cmap)# exit
hostname(config)# policy-map sample_policy
hostname(config-pmap)# class sunrpc-port
hostname(config-pmap-c)# inspect sunrpc
hostname(config-pmap-c)# exit
hostname(config)# service-policy sample_policy interface outside
 

すべてのインターフェイスに対して RPC インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

clear configure sunrpc_server

sunrpc-server コマンドを使用して実行されているコンフィギュレーションを削除します。

clear sunrpc-server active

Sun RPC アプリケーション インスペクションによって、NFS または NIS などの特定のサービス用に開けられているピンホールをクリアします。

show running-config sunrpc-server

Sun RPC サービス テーブル コンフィギュレーションの情報を表示します。

sunrpc-server

NFS または NIS などの Sun RPC サービス用に、タイムアウトを指定してピンホールを作成できるようにします。

show sunrpc-server active

Sun RPC サービス用に開けられているピンホールを表示します。

inspect tftp

TFTP アプリケーション インスペクションをディセーブルにしたり、ディセーブルになっている場合にイネーブルにしたりするには、クラス コンフィギュレーション モード inspect tftp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect tftp

no inspect tftp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

デフォルトのポート割り当ては 69 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、既存の前の fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

RFC 1350 に規定されている Trivial File Transfer Protocol(TFTP)は、TFTP サーバとクライアント間でファイルを読み書きするための簡易プロトコルです。

適応型セキュリティ アプライアンスでは TFTP クライアントとサーバ間のファイル転送を許可するために、必要に応じて、TFTP トラフィックを検査し、接続および変換をダイナミックに作成します。具体的には、インスペクション エンジンは TFTP の読み取り要求(RRQ)、書き込み要求(WRQ)、およびエラー通知(ERROR)を検査します。

必要に応じて、ダイナミック セカンダリ チャネルおよび PAT 変換が、有効な読み取り要求(RRQ)または書き込み要求(WRQ)の受信時に割り当てられます。このセカンダリ チャネルは、後で、TFTP によってファイル転送またはエラー通知に使用されます。

セカンダリ チャネルを介してトラフィックを開始できるのは TFTP サーバだけであり、TFTP クライアントとサーバ間に存在できる不完全なセカンダリ チャネルは最大でも 1 つです。セカンダリ チャネルは、サーバからのエラー通知によって閉じられます。

TFTP トラフィックのリダイレクトにスタティック PAT が使用されている場合は、TFTP インスペクションをイネーブルにする必要があります。

次の例に示すように、TFTP インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(69)上の TFTP トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map tftp-port
hostname(config-cmap)# match port udp eq 69
hostname(config-cmap)# exit
hostname(config)# policy-map tftp_policy
hostname(config-pmap)# class tftp-port
hostname(config-pmap-c)# inspect tftp
hostname(config-pmap-c)# exit
hostname(config)# service-policy tftp_policy interface outside
 

すべてのインターフェイスに対して TFTP インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect waas

WAAS アプリケーション インスペクションをイネーブルにするには、クラス コンフィギュレーション モードで inspect waas コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect waas

no inspect waas

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、WAAS アプリケーション インスペクションをイネーブルにする例を示します。

hostname(config-pmap-c)# inspect waas
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect waas

WAAS アプリケーション インスペクションをイネーブルにするには、クラス コンフィギュレーション モードで inspect waas コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect waas

no inspect waas

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次に、WAAS アプリケーション インスペクションをイネーブルにする例を示します。

hostname(config-pmap-c)# inspect waas
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。

inspect xdmcp

XDMCP アプリケーション インスペクションをイネーブルにしたり、適応型セキュリティ アプライアンスがリッスンするポートを変更したりするには、クラス コンフィギュレーション モード inspect xdmcp コマンドを使用します。クラス コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

inspect xdmcp

no inspect xdmcp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトでイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加され、既存の前の fixup コマンドは置き換えられて廃止されました。

 
使用上のガイドライン

inspect xdmcp コマンドは、XDMCP プロトコルに対するアプリケーション インスペクションをイネーブルまたはディセーブルにします。

XDMCP は、UDP ポート 177 を使用して X セッションをネゴシエートするプロトコルであり、X セッションは確立後には TCP を使用します。

ネゴシエーションを成功させて XWindows セッションを開始するには、適応型セキュリティ アプライアンスで Xhosted コンピュータからの TCP バック接続を許可する必要があります。バック接続を許可するには、適応型セキュリティ アプライアンス上で established コマンドを使用します。XDMCP がディスプレイを送信するポートをネゴシエートすると、このバックアップ接続を許可するかどうかを確認するために established コマンドが参照されます。

XWindows セッションの間、マネージャは既知のポート 6000 | n で Xserver ディスプレイと通信します。次のように端末を設定すると、結果として、各端末が個別に Xserver に接続されます。

setenv DISPLAY Xserver:n
 

ここで、 n はディスプレイ番号です。

XDMCP が使用されている場合、ディスプレイは IP アドレスを使用してネゴシエートされます。この IP アドレスに対し、必要に応じて適応型セキュリティ アプライアンスで NAT を実行できます。XDCMP インスペクションでは PAT はサポートされていません。

次の例に示すように、XDMCP インスペクション エンジンをイネーブルにします。この例では、デフォルト ポート(177)上の XDMCP トラフィックと一致するクラス マップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map xdmcp-port
hostname(config-cmap)# match port tcp eq 177
hostname(config-cmap)# exit
hostname(config)# policy-map xdmcp_policy
hostname(config-pmap)# class xdmcp-port
hostname(config-pmap-c)# inspect xdmcp
hostname(config-pmap-c)# exit
hostname(config)# service-policy xdmcp_policy interface outside
 

すべてのインターフェイスに対して XDMCP インスペクションをイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug xdmcp

XDMCP のデバッグ情報をイネーブルにします。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

service-policy

1 つまたは複数のインターフェイスにポリシー マップを適用します。