Cisco ASA 5500 シリーズ スタートアップ ガイド
CSC SSM の設定
CSC SSM の設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

CSC SSM の設定

CSC SSM について

CSC SSM 搭載の適応型セキュリティ アプライアンスの構成について

シナリオ:コンテンツ セキュリティのため CSC SSM を搭載したセキュリティ アプライアンス

設定要件

コンテンツ セキュリティのための CSC SSM の設定

Cisco.com からのソフトウェア アクティベーション キーの入手

情報の収集

時間設定の確認

CSC Setup Wizard の実行

次の作業

CSC SSM の設定

ASA 5500 シリーズ 適応型セキュリティ アプライアンスは、Content Security および Control ソフトウェアを実行する CSC SSM をサポートしています。CSC SSM は、適応型セキュリティ アプライアンスが CSC SSM に転送する FTP、HTTP、POP3、および SMTP の各トラフィックをスキャンすることで、ウイルス、スパイウェア、スパム、およびその他の迷惑なトラフィックに対して保護します。


) CSC SSM には Cisco ASA 5500 シリーズ ソフトウェア バージョン 7.1(1)以降が必要です。


この章は、次の項で構成されています。

「CSC SSM について」

「CSC SSM 搭載の適応型セキュリティ アプライアンスの構成について」

「シナリオ:コンテンツ セキュリティのため CSC SSM を搭載したセキュリティ アプライアンス」

「次の作業」

CSC SSM について

CSC SSM は、Trend Micro 社のアップデート サーバから定期的に更新される、疑わしいコンテンツのシグニチャ プロファイルが入ったファイルを維持します。CSC SSM は適応型セキュリティ アプライアンスから受信されるトラフィックをスキャンし、それを Trend Micro 社から受け取るコンテンツ プロファイルと比較します。次に、正規のコンテンツを適応型セキュリティ アプライアンスに転送してルーティングしたり、疑わしいコンテンツをブロックして報告します。

Trend Micro 社からコンテンツ プロファイルを受け取るだけでなく、システム アドミニストレータが、CSC SSM が追加のトラフィック タイプや場所をスキャンするよう、設定をカスタマイズすることもできます。たとえば、システム アドミニストレータは特定の URL をブロックまたはフィルタしたり、FTP および E メール パラメータをスキャンするよう CSC SSM を設定できます。

CSC SSM のシステム セットアップや監視には ASDM を使用します。CSC SSM ソフトウェアでコンテンツ セキュリティ ポリシーの高度な設定をするには、ASDM 内でリンクをクリックして、CSC SSM の Web ベースの GUI にアクセスします。

この章では、適応型セキュリティ アプライアンスを設定して構成する方法について説明します。CSC SSM GUI の使用方法については、『Cisco Content Security and Control SSM Administrator Guide』に記載されています。

CSC SSM 搭載の適応型セキュリティ アプライアンスの構成について

適応型セキュリティ アプライアンスが CSC SSM とともに構成されているネットワークでは、CSC SSM にスキャンしたいトラフィックのタイプだけ送信するよう適応型セキュリティ アプライアンスを設定します。

図 14-1 に、企業ネットワーク、適応型セキュリティ アプライアンスおよび CSC SSM、またインターネット間の基本的なトラフィック フローを示します。図 14-1 に図示されたネットワークには次のものがあります。

CSC SSM がインストールされ、設定されている適応型セキュリティ アプライアンス

どのトラフィックが CSC SSM に転送されてスキャンされるかを指定する適応型セキュリティ アプライアンス上のサービス ポリシー

図 14-1 CSC SSM のトラフィック フロー

この例では、クライアントは Web サイトにアクセスし、FTP サーバからファイルをダウンロードし、または POP3 サーバからメールを受信するネットワーク ユーザと考えられます。

この設定では、トラフィック フローは次のようになります。

1. クライアントが要求を出します。

2. 適応型セキュリティ アプライアンスがその要求を受信し、インターネットに転送します。

3. 要求されたコンテンツを取得すると、適応型セキュリティ アプライアンスは、そのサービス ポリシーがこのコンテンツ タイプを CSC SSM に転送してスキャンすべきコンテンツとして定義しているどうか判断し、適宜、転送してスキャンします。

4. CSC SSM は適応型セキュリティ アプライアンスからコンテンツを受信し、スキャンして、その Trend Micro コンテンツ フィルタの最新アップデートと比較します。

5. コンテンツが疑わしい場合、CSC SSM はコンテンツをブロックし、イベントを報告します。コンテンツが疑わしくない場合は、CSC SSM は、ルーティングのため要求されたコンテンツを適応型セキュリティ アプライアンスに転送します。


) CSC SSM は、SMTP トラフィックを他のコンテンツ タイプとは異なる方法で処理します。CSC SSM は SMTP トラフィックを受信してスキャンした後、ルーティングのためにトラフィックを適応型セキュリティ アプライアンスには転送しません。代わりに、CSC SSM は SMTP トラフィックを適応型セキュリティ アプライアンスで保護された SMTP サーバに直接転送します。


シナリオ:コンテンツ セキュリティのため CSC SSM を搭載したセキュリティ アプライアンス

図 14-2 に、CSC SSM を搭載した適応型セキュリティ アプライアンスの一般的な構成を示します。

図 14-2 CSC SSM 構成シナリオ

 

このシナリオでは、お客様はコンテンツ セキュリティのため CSC SSM を搭載した適応型セキュリティ アプライアンスを構成しています。特に興味深いのは次の点です。

適応型セキュリティ アプライアンスは専用管理ネットワーク上にあります。専用管理ネットワークの使用は必須ではありませんが、セキュリティを考え、使用することを推奨します。

この適応型セキュリティ アプライアンス設定には 2 つの管理ポートがあります。1 つは適応型セキュリティ アプライアンス自体用、もう 1 つは CSC SSM 用です。すべての管理ホストは両方の IP アドレスにアクセスできることが必要です。

HTTP プロキシ サーバは、内部ネットワークと専用管理ネットワーク両方に接続されています。これにより CSC SSM は、Trend Micro 社のアップデート サーバから更新されたコンテンツ セキュリティ フィルタを取得できます。

アドミニストレータに CSC SSM イベントを通知できるよう、管理ネットワークには SMTP サーバが含まれています。管理ネットワークには、CSC SSM により生成されたログを保存するため syslog サーバも含まれています。

この項は、次の内容で構成されています。

「設定要件」

「コンテンツ セキュリティのための CSC SSM の設定」

設定要件

適応型セキュリティ アプライアンスの構成を計画する場合、ネットワークが次の要件を満たしていることが重要です。

SSM 管理ポートの IP アドレスは、ASDM の実行で使用されるホストによりアクセスできなければなりません。ただし、SSM 管理ポートおよび適応型セキュリティ アプライアンス管理インターフェイスの IP アドレスは異なるサブネットにある場合があります。

SSM 管理ポートは、CSC SSM が Trend Micro アップデート サーバに到達できるよう、インターネットに接続できなければなりません。

コンテンツ セキュリティのための CSC SSM の設定

オプションの CSC SSM モジュールとともに適応型セキュリティ アプライアンスを注文した場合、初期設定を完了するまでに、いくつか必要な手順があります。適応型セキュリティ アプライアンスで行う設定手順もあれば、CSC SSM で実行しているソフトウェアで行う手順もあります。

このマニュアルのこれよりも前の章の手順に従っている場合、この時点で、ライセンス ソフトウェアにより適応型セキュリティ アプライアンス システムが動作しており、Startup Wizard を使用して基本システム値が入力されています。次に、コンテンツ セキュリティ構成のために適応型セキュリティ アプライアンスを設定します。

基本的な手順は次のとおりです。

1. Cisco.com からソフトウェア アクティベーション キーを入手します。

2. CSC SSM の設定に必要な情報を収集します。

3. ASDM を使用して、時間設定を確認します。

4. ASDM で、CSC 設定ウィザードを実行し、CSC SSM を設定します。

5. ASDM を使用してトラフィックを CSC SSM に転送し、スキャンするよう適応型セキュリティ アプライアンスを設定します。

これらの手順の詳細は、次の項に記載されています。

この項は、次の内容で構成されています。

「Cisco.com からのソフトウェア アクティベーション キーの入手」

「情報の収集」

「時間設定の確認」

「CSC Setup Wizard の実行」

Cisco.com からのソフトウェア アクティベーション キーの入手

CSC SSM により、Product Authorization Key(PAK)を受信しているはずです。PAK を使用して、次の URL で CSC SSM を登録します。

 

登録後、E メールでアクティベーション キーを受信します。 「CSC Setup Wizard の実行」 に記載された手順を完了する前に、アクティベーション キーが必要です。

情報の収集

適応型セキュリティ アプライアンスと CSC SSM を設定する前に、次の情報を収集します。

CSC SSM 管理ポートの IP アドレスとネットマスク、ゲートウェイの IP アドレスとネットマスク。適応型セキュリティ アプライアンスの IP アドレスは、 付録 A「3DES/AES ライセンスの取得」 に記載されているように Startup Wizard を完了したときに割り当てられました。


) SSM 管理ポートの IP アドレスは、ASDM の実行で使用されるホストによりアクセスできなければなりません。SSM 管理ポートおよび適応型セキュリティ アプライアンス管理インターフェイスの IP アドレスは異なるサブネットにある場合があります。


CSC SSM に使用するホスト名とドメイン名

DNS サーバの IP アドレス

HTTP プロキシ サーバの IP アドレス(インターネットへの HTTP アクセスにネットワークでプロキシが使用されている場合)

E メール通知に使用する E メール アドレスおよび SMTP サーバの IP アドレスとポート番号

CSC SSM への管理アクセスを許可するためのホストとネットワークの IP アドレス


 

時間設定の確認

時間帯など、適応型セキュリティ アプライアンスの時間設定の精度を確認します。ライセンスには時間的制約があるため、セキュリティ イベントの記録、CSC SSM のコンテンツ フィルタ リストの自動アップデート、またライセンシングには時間は正確であることが重要です。

時間設定の精度を確認するには、次の手順に従います。

時間設定を手動で制御する場合、クロック設定を確認します。ASDM で、[Configuration] > [Device Setup] > [System Time] > [Clock] の順に選択します。

NTP を使用して時間設定を制御している場合は、NTP 設定を確認します。ASDM で、[Configuration] > [Device Setup] > [System Time] > [NTP] の順に選択します。

CSC Setup Wizard の実行

CSC 設定ウィザードを実行するには、次の手順に従います。


ステップ 1 ASDM メイン アプリケーション ウィンドウで、[Configuration] > [Trend Micro Content Security] > [Wizard Setup] > [Launch Wizard Setup] の順に選択します。

[CSC Setup Wizard] 画面が表示されます。

ステップ 2 CSC Setup Wizard の Step 1 で、[Base License] および、該当する場合は [Plus License] のプロダクト アクティベーション コードを入力します。[Plus License] のアクティベーション コードは CSC SSM の初期設定後に入力できます。

 

ステップ 3 [Next] をクリックします。

ステップ 4 CSC Setup Wizard の Step 2 で、次の情報を入力します。

CSC 管理インターフェイスの IP アドレス、ネットワーク マスク、およびゲートウェイ IP アドレス

Primary DNS サーバの IP アドレス

(オプション)HTTP プロキシ サーバの IP アドレスおよびプロキシ ポート(ネットワークで HTTP プロキシ サーバを使用して HTTP 要求をインターネットに送信している場合)

 

ステップ 5 [Next] をクリックします。

ステップ 6 CSC Setup Wizard の Step 3 で、次の情報を入力します。

CSC SSM のホスト名とドメイン名

ローカル メール サーバにより着信ドメインとして使用されているドメイン名


) アンチスパム ポリシーは、このドメインに入る E メール トラフィックにだけ適用されます。


通知用のアドミニストレータの E メール アドレス、E メール サーバの IP アドレス、およびポート

 

ステップ 7 [Next] をクリックします。

ステップ 8 CSC Setup Wizard の Step 4 で、次の情報を入力します。

CSC SSM への管理アクセス権を持っているはずの、各サブネットおよびホストの IP アドレスとネットワーク マスク デフォルトでは、すべてのネットワークに CSC SSM への管理アクセス権があります。


) セキュリティを考え、特定のサブネットや管理ホストへのアクセスを制限することを推奨します。


ホストとネットワークの新しい組み合せを入力するには、[Add] をクリックします。

既存のホストとネットワークの組み合せを削除するには、[Selected Hosts/Networks] リストから 1 つ選択し、[Delete] をクリックします。

 

ステップ 9 [Next] をクリックします。

ステップ 10 CSC Setup Wizard の Step 5 で、次の情報を入力します。

工場出荷時のデフォルト パスワード「cisco」

管理アクセス用の新規パスワード

新規パスワードの確認

 

ステップ 11 [Next] をクリックします。

ステップ 12 CSC Setup Wizard の Step 6 で、CSC スキャンのためのトラフィック選択肢を定義します。[Add] をクリックします。

 

[Specify Traffic for CSC Scan] ダイアログボックスが表示されます。

 

ステップ 13 ドロップダウン リストからインターフェイスを選択します。利用可能なオプションは、[global (all interfaces)]、[inside]、[management]、および [ssm management] です。

ステップ 14 [IPv4 Network Objects] リストからネットワーク トラフィックの発信元を選択し、[OK] をクリックします。

ステップ 15 スキャンのため CSC のネットワーク トラフィックの宛先を指定するには、省略記号をクリックし、[Browse Destination] ダイアログボックスを表示します。

ステップ 16 [IPv4 Network Objects] リストからネットワーク トラフィックの宛先を選択し、[OK] をクリックします。

ステップ 17 スキャンのため CSC のサービスのタイプを指定するには、省略記号をクリックし、[Browse Service] ダイアログボックスを表示します。

ステップ 18 リストからサービス(複数の場合もあり)を選択し、[OK] をクリックします。

ステップ 19 CSC でスキャンするネットワーク トラフィックの説明を指定のフィールドに入力します。

ステップ 20 スキャンに失敗した場合に CSC でネットワーク トラフィックをスキャンできるかどうか指定する場合は、次の内容を実行します。

スキャンせずにトラフィックの通過を許可する場合は、[Permit] をクリックします。

スキャンせずにトラフィックが通過しないようにするには、[Deny] をクリックします。

設定を保存するには、[OK] をクリックします。追加されたトラフィックの詳細が [Traffic Selection for CSC Scan] 画面に表示されます。

これらの設定を廃棄し、[Traffic Selection for CSC Scan] 画面に戻るには、[Cancel] をクリックします。[Cancel] をクリックすると、ASDM により決定を確認するダイアログボックスが表示されます。

ステップ 21 [Next] をクリックします。

ステップ 22 CSC Setup Wizard の Step 7 で、[Summary] 画面で CSC SSM に入力した設定内容を確認します。

 

ステップ 23 適切に設定されている場合は、[Finish] をクリックします。設定を変更するには、変更する設定が表示されている画面になるまで [Back] をクリックします。

CSC SSM がアクティブであることを示す情報メッセージが表示されます。


 

デフォルトでは、CSC SSM は、(アンチウイルス、アンチスパム、アンチフィッシング、およびコンテンツ フィルタリングを含む場合がある)購入したライセンスにしたがって有効になったコンテンツ セキュリティをスキャンするよう設定されています。また、Trend Micro 社のアップデート サーバから定期的にアップデートを入手するよう設定されています。

Plus ライセンスを購入した場合は、URL ブロッキングおよび URL フィルタリングだけでなく、E メール パラメータや FTP パラメータのカスタム設定を作成できます。詳細については、『Cisco Content Security and Control SSM Administrator Guide』を参照してください。

次の作業

これで、Trend Micro Interscan for Cisco CSC SSM ソフトウェアを設定する準備ができました。次のマニュアルを使用して、各実装内容に応じた適応型セキュリティ アプライアンスの設定を続けます。

 

作業内容
参照先

高度なセキュリティ ポリシーなど CSC SSM ソフトウェアの設定

Cisco Content Security and Control SSM Administrator Guide

コンテンツ フィルタリングなど、ASDM での追加 CSC SSM 機能の設定

ASDM オンライン ヘルプ

より効率的なサービス ポリシーを作成することによる AIP SSM と CSC SSM のパフォーマンスの最適化

『Cisco ASA 5500 Series Configuration Guide using the CLI

 

CSC SSM ソフトウェアを設定したら、次の追加の手順を実行することもできます。

 

作業内容
参照先

既存の詳細な設定およびオプション機能と拡張機能の設定

『Cisco ASA 5500 Series Configuration Guide using the CLI

日常的な運用について

Cisco ASA 5500 Series Command Reference

Cisco ASA 5500 Series System Log Messages

ハードウェア メンテナンスおよびトラブルシューティング情報の確認

『Cisco ASA 5500 Series Hardware Installation Guide

複数のアプリケーションに適応型セキュリティ アプライアンスを設定できます。次の章では、適応型セキュリティ アプライアンスの他の一般的なアプリケーションの設定手順について説明します。

 

作業内容
参照先

DMZ Web サーバの保護設定

「シナリオ:DMZ 設定」

リモートアクセス VPN の設定

「シナリオ:IPsec リモートアクセス VPN 設定」

ソフトウェア クライアントのリモートアクセス SSL 接続設定

「シナリオ:Cisco AnyConnect VPN クライアント用接続の設定」

ブラウザベースのリモートアクセス SSL 接続設定

「シナリオ:SSL VPN クライアントレス接続」

サイトツーサイト VPN の設定

「シナリオ:サイトツーサイト VPN 設定」