ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
管理アクセスの設定
管理アクセスの設定
発行日;2012/02/01 | 英語版ドキュメント(2010/01/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

管理アクセスの設定

ASDM、Telnet、または SSH を使用するデバイス アクセスの設定

CLI パラメータの設定

バナーの追加

CLI プロンプトのカスタマイズ

コンソールのタイムアウト期間の変更

ファイル アクセスの設定

FTP クライアント モードの設定

セキュア コピー サーバとしてのセキュリティ アプライアンスの設定

TFTP クライアントとしてのセキュリティ アプライアンスの設定

マウント ポイントの追加

CIFS マウント ポイントの追加

FTP マウント ポイントの追加

ICMP アクセスの設定

管理インターフェイスの設定

SNMP の設定

SNMP について

SNMP の用語について

管理情報ベースおよびトラップについて

SNMP パラメータおよび管理ステーションの設定

SNMP パラメータの設定(バージョン 1 および 2c)

SNMP パラメータの設定(バージョン 3)

SNMP 管理ステーションの追加

SNMP トラップの設定

管理アクセス ルールの設定

システム管理者の AAA の設定

CLI、ASDM、および enable コマンドの認証の設定

管理認可を使用したユーザの CLI および ASDM アクセスの制限

コマンド認可の設定

コマンド認可の概要

ユーザ クレデンシャルの保持について

ローカル コマンド認可の設定

TACACS+ コマンド認可の設定

管理アクセス アカウンティングの設定

ロックアウトからの回復

管理アクセスの設定

この章では、次の項目について説明します。

「ASDM、Telnet、または SSH を使用するデバイス アクセスの設定」

「CLI パラメータの設定」

「ファイル アクセスの設定」

「ICMP アクセスの設定」

「管理インターフェイスの設定」

「SNMP の設定」

「管理アクセス ルールの設定」

「システム管理者の AAA の設定」


) トランスペアレント ファイアウォール モード用に管理 IP アドレスを設定する手順については、「トランスペアレント ファイアウォール モードの管理 IP アドレスの設定」を参照してください。


ASDM、Telnet、または SSH を使用するデバイス アクセスの設定

この項では、ASDM、Telnet、または SSH を使用してクライアントからデバイスへアクセスできるようにする方法について説明します。セキュリティ アプライアンスへのアクセスを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] ペインで、 [Add] をクリックします。

右側のペインに、[Add Device Access Configuration] ダイアログボックスが表示されます。

ステップ 2 セッションのタイプとして、[ASDM/HTTPS]、[Telnet]、[SSH] のいずれかを選択します。

ステップ 3 [Interface Name] ドロップダウン リストから、管理アクセスに使用するインターフェイスを選択します。

ステップ 4 [IP Address] フィールドに、アクセスを許可するネットワークまたはホストの IP アドレスを入力します。このフィールドには、IPv6 アドレスを入力することもできます。


) その際、IPv6 アドレスの [IP Address] フィールドにコロン(:)を入力すると、[Netmask] フィールドが [Prefix Length] に変わります。


ステップ 5 アクセスを許可するネットワークまたはホストに関連付けるマスクを、[Mask] ドロップダウン リストから選択します。

ステップ 6 ASDM/HTTPS セッションを選択した場合は、[Enable HTTP Server] チェックボックスがオンになっていることを確認してください。このチェックボックスは、デフォルトでオンになっています。

ステップ 7 ポート番号を指定します。デフォルト ポートは 443 です。

ステップ 8 必要に応じて、[Idle Timeout] または [Session Timeout] の値を調整します。デフォルトでは、タイムアウト値は設定されていません。この設定は、シングル ルーテッド モードに限って使用できます。

ステップ 9 Telnet セッションの場合、デフォルトのタイムアウト値は 5 分です。この値を変更する場合は、[Telnet Timeout] フィールドに目的の値を入力します。

ステップ 10 SSH セッションを選択した場合は、サポートされている SSH バージョンをドロップダウン リストから選択します。

ステップ 11 SSH セッションの場合、デフォルトのタイムアウト値は 5 分です。この値を変更する場合は、[SSH Timeout] フィールドに目的の値を入力します。

ステップ 12 [Apply] をクリックします。

変更内容が実行コンフィギュレーションに保存されます。


 

CLI パラメータの設定

この項は、次の内容で構成されています。

「バナーの追加」

「CLI プロンプトのカスタマイズ」

「コンソールのタイムアウト期間の変更」

バナーの追加

ユーザがセキュリティ アプライアンスに接続する際にメッセージが表示されるよう設定できます。メッセージは、ユーザがログインする際、または特権 EXEC モードにアクセスする際に表示されます。

次のガイドラインを参照してください。

セキュリティの観点からは、不正アクセスを拒否する内容のバナーを表示することが重要です。「ようこそ」や「どうぞ」など、侵入者を歓迎するような言葉は使用しないでください。次に、適切なバナーの例を示します。不正アクセスに対して表示する内容としては、このような語調が適しています。

You have logged in to a secure device. If you are not authorized to access this device,
log out immediately or risk possible criminal consequences.
 

バナー メッセージに関するガイドラインについては、RFC 2196 を参照してください。

使用できるのは、改行(Enter キー)も含めて ASCII 文字だけです。ただし、改行文字は 2 文字に相当します。

また、タブ文字は、CLI バージョンでは無視されるため、バナーには使用しないでください。

バナーの文字数については、RAM やフラッシュ メモリに伴う制約は受けますが、それ以外に制限はありません。

$(hostname) や $(domain) という文字列を使用すれば、セキュリティ アプライアンスのホスト名またはドメイン名をダイナミックに追加できます。

システム コンフィギュレーションでバナーを設定する場合は、コンテキスト コンフィギュレーションで $(system) という文字列を使用することにより、コンテキスト内でバナー テキストを使用できます。

バナーの追加後、次のような状況になると、セキュリティ アプライアンスの Telnet セッションまたは SSH セッションは終了します。

システム メモリが不足したためにバナー メッセージを処理できない場合。

バナー メッセージの表示時に TCP 書き込みエラーが発生した場合。

初回接続日時バナー、ログイン バナー、およびセッション バナーを追加するには、次の手順を実行します。


ステップ 1 [ Configuration] > [Device Management] > [Management Access] > [Command Line (CLI)] > [Banner] ペインで、CLI に対して作成するバナーのタイプに対応するフィールドに、バナー テキストを入力します。

[Session (exec) banner]:ユーザが CLI で特権 EXEC モードにアクセスする際に表示されるバナーです。

[Login Banner]:ユーザが CLI にログインする際に表示されるバナーです。

[Message-of-the-day (motd) Banner] :ユーザが CLI に初めて接続する際に表示されるバナーです。

[ASDM Banner]:ユーザが認証を受けた後 ASDM に接続する際に表示されるバナーです。ユーザは、次のいずれかのオプションを使用して、表示されたバナーを消去できます。

[Continue]:バナーを消去し、通常どおりログインできます。

[Disconnect]:バナーを消去し、接続を終了します。

ステップ 2 [Apply] をクリックします。

バナーが追加され、変更内容が実行コンフィギュレーションに保存されます。


 

CLI プロンプトのカスタマイズ

[CLI Prompt] ペインでは、CLI セッション中に使用するプロンプトをカスタマイズできます。デフォルトでは、プロンプトにはセキュリティ アプライアンスのホスト名が表示されます。マルチ コンテキスト モードでは、プロンプトにはコンテキスト名も表示されます。CLI プロンプトには次の項目を表示できます。

 

context

(マルチ モードのみ)現在のコンテキストの名前が表示されます。

domain

ドメイン名が表示されます。

hostname

ホスト名が表示されます。

priority

フェールオーバーの優先順位が pri(プライマリ)または sec(セカンダリ)として表示されます。

state

装置のトラフィック通過状態が表示されます。状態として次の値が表示されます。

act:フェールオーバーはイネーブルになっており、装置はアクティブでトラフィックが装置を通過しています。

stby:フェールオーバーはイネーブルになっており、装置はスタンバイ、障害発生、またはその他の非アクティブ状態で、トラフィックは装置を通過していません。

actNoFailover:フェールオーバーがイネーブルではなく、装置はアクティブでトラフィックが装置を通過しています。

stbyNoFailover:フェールオーバーがイネーブルではなく、トラフィックは装置を通過していません。この状態に移行することがあるのは、スタンバイ装置でのしきい値超過によりインターフェイスの障害が発生した場合などです。

CLI セッション中に使用するプロンプトを、ホスト名やコンテキスト名以外の情報が表示されるようカスタマイズするには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [CLI Prompt] ペインで、次のいずれかの操作を行って、プロンプトをカスタマイズします。

プロンプトにアトリビュートを追加する場合は、[Available Prompts] リストで目的のアトリビュートをクリックし、 [Add] をクリックします。プロンプトには複数のアトリビュートを追加できます。アトリビュートが [Available Prompts] リストから [Selected Prompts] リストに移動します。

プロンプトからアトリビュートを削除する場合は、[Selected Prompts] リストでアトリビュートをクリックし、 [Delete] をクリックします。アトリビュートが [Selected Prompts] リストから [Available Prompts] リストに移動します。

コマンド プロンプトにアトリビュートが表示される順序を変更する場合は、[Selected Prompts] リストで目的のアトリビュートをクリックし、 [Move Up] または [Move Down] をクリックして順序を変更します。

変更されたプロンプトが [CLI Prompt Preview] フィールドに表示されます。

ステップ 2 [Apply] をクリックします。

変更されたプロンプトが、実行コンフィギュレーションに保存されます。


 

コンソールのタイムアウト期間の変更

コンソールのタイムアウト期間、またはアクティブな管理コンソールが自動的にシャットダウンするまでの期間を変更するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [Command Line (CLI)] > [Console Timeout] ペインで、新たなタイムアウト値を分単位で入力します。

タイムアウト期間を設定しない場合は 0 を入力します。デフォルト値は 0 です。

ステップ 2 [Apply] をクリックします。

コンソールのタイムアウト期間が変更され、その変更内容が実行コンフィギュレーションに保存されます。


 

ファイル アクセスの設定

この項は、次の内容で構成されています。

「FTP クライアント モードの設定」

「セキュア コピー サーバとしてのセキュリティ アプライアンスの設定」

「TFTP クライアントとしてのセキュリティ アプライアンスの設定」

「マウント ポイントの追加」

FTP クライアント モードの設定

セキュリティ アプライアンスでは、FTP サーバとの間で、イメージ ファイルやコンフィギュレーション ファイルのアップロードおよびダウンロードを実行できます。パッシブ FTP クライアントでは、コントロール接続とデータ接続がともに起動します。サーバは、パッシブ モードでデータ接続の宛先になり、特定の接続をリスンするポートの番号で応答します。

FTP クライアントをパッシブ モードに設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [File Access] > [FTP Client] ペインで、 [Specify FTP mode as passive] チェックボックスをオンにします。

ステップ 2 [Apply] をクリックします。

FTP クライアントのコンフィギュレーションが変更され、その変更内容が実行コンフィギュレーションに保存されます。


 

セキュア コピー サーバとしてのセキュリティ アプライアンスの設定

セキュリティ アプライアンス上でセキュア コピー サーバをイネーブルにできます。SSH によるセキュリティ アプライアンスへのアクセスを許可されたクライアントだけが、セキュア コピー接続を確立できます。

セキュア コピー サーバの実装には、次の制約事項があります。

サーバでは、セキュア コピー接続の受け入れおよび終了を行うことはできますが、起動はできません。

サーバは、ディレクトリの指定をサポートしていません。そのため、リモート クライアント アクセスでセキュリティ アプライアンスの内部ファイル参照はできません。

サーバは、バナーをサポートしていません。

サーバは、ワイルドカードをサポートしていません。

SSH バージョン 2 で接続するには、セキュリティ アプライアンスのライセンスに VPN-3DES-AES 機能が含まれていることが必要です。

セキュリティ アプライアンスをセキュア コピー(SCP)サーバとして設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [File Access] > [Secure Copy (SCP) Server] ペインで、 [Enable secure copy server] チェックボックスをオンにします。

ステップ 2 [Apply] をクリックします。

変更内容が実行コンフィギュレーションに保存されます。セキュリティ アプライアンスが SCP サーバとして動作するようになり、デバイスとの間でファイルのやり取りが可能になります。


 

TFTP クライアントとしてのセキュリティ アプライアンスの設定

TFTP は、単純なクライアント/サーバ ファイル転送プロトコルで、RFC783 および RFC1350 Rev で規定されています。2. セキュリティ アプライアンスを TFTP クライアント として設定すると、その実行コンフィギュレーション ファイルのコピーを TFTP サーバ へ転送できるようになります。設定は、[File] > [Save Running Configuration to TFTP Client or Tools] > [Command Line Interface] で行います。これにより、コンフィギュレーション ファイルをバックアップし、それらを複数のセキュリティ アプライアンスにプロパゲートできます。

セキュリティ アプライアンスでサポートされる TFTP クライアントは 1 つだけです。TFTP クライアントのフル パスは、[Configuration] > [Device Management] > [Management Access] > [File Access] > [TFTP Client] で指定します。この設定を行えば、それ以降は CLI の configure net コマンドおよび copy コマンドで、コロン(:)を使用した IP アドレスを指定できます。ただし、セキュリティ アプライアンスと TFTP クライアントの通信に必要となる中間デバイスの認証や設定は、この機能とは別に行われます。

コンフィギュレーション ファイルを TFTP サーバに保存できるように、セキュリティ アプライアンスを TFTP クライアントとして設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [File Access] > [TFTP Client] ペインで、 [Enable] チェックボックスをオンにします。

ステップ 2 [Interface Name] ドロップダウン リストから、TFTP クライアントとして使用するインターフェイスを選択します。

ステップ 3 コンフィギュレーション ファイルの保存先とする TFTP サーバの IP アドレスを [IP Address] フィールドに入力します。

ステップ 4 コンフィギュレーション ファイルの保存先とする TFTP サーバへのパスを [Path] フィールドに入力します。

例: / tftpboot / asa / config3

ステップ 5 [Apply] をクリックします。

変更内容が実行コンフィギュレーションに保存されます。以降、セキュリティ アプライアンスのコンフィギュレーション ファイルの保存には、この TFTP サーバが使用されます。詳細については、「実行コンフィギュレーションを TFTP サーバに保存する」を参照してください。


 

マウント ポイントの追加

Common Internet File System(CIFS; 共通インターネット ファイル システム)およびファイル転送プロトコル(FTP)のマウント ポイントを追加できます。

この項は、次の内容で構成されています。

「CIFS マウント ポイントの追加」

「FTP マウント ポイントの追加」

CIFS マウント ポイントの追加

CIFS マウント ポイントを編集するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [File Access] > [Mount-Points] ペインで、 [Add] > [CIFS Mount Point] をクリックします。

[Add CIFS Mount Point] ダイアログボックスが表示されます。

ステップ 2 [Enable mount point] チェックボックスをオンにします。

これにより、セキュリティ アプライアンス上の CIFS ファイル システムが UNIX のファイル ツリーに接続されます。

ステップ 3 [Mount Point Name] フィールドに、既存の CIFS が存在する位置の名前を入力します。

ステップ 4 [Server Name] フィールドまたは [IP Address] フィールドに、マウント ポイントを配置するサーバの名前または IP アドレスを入力します。

ステップ 5 [Share Name] フィールドに、CIFS サーバ上のフォルダの名前を入力します。

ステップ 6 [NT Domain Name] フィールドに、サーバが常駐する NT ドメインの名前を入力します。

ステップ 7 サーバに対するファイル システムのマウントを認可されているユーザの名前を、[User Name] フィールドに入力します。

ステップ 8 サーバに対するファイル システムのマウントを認可されているユーザのパスワードを、[Password] フィールドに入力します。

ステップ 9 [Confirm Password] フィールドで、パスワードを再入力します。

ステップ 10 [OK] をクリックします。

[Add CIFS Mount Point] ダイアログボックスが閉じます。

ステップ 11 [Apply] をクリックします。

セキュリティ アプライアンスにマウント ポイントが追加され、その変更内容が実行コンフィギュレーションに保存されます。


 

FTP マウント ポイントの追加


) FTP マウント ポイントの場合、FTP サーバには UNIX のディレクトリ リスト スタイルが必要です。Microsoft FTP サーバのデフォルトは、MS-DOS のディレクトリ リスト スタイルです。


FTP マウント ポイントを定義するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [File Access] > [Mount-Points] ペインで、 [Add] > [FTP Mount Point] をクリックします。

[Add FTP Mount Point] ダイアログボックスが表示されます。

ステップ 2 [Enable] チェックボックスをオンにします。

これにより、セキュリティ アプライアンス上の FTP ファイル システムが UNIX のファイル ツリーに接続されます。

ステップ 3 [Mount Point Name] フィールドに、既存の FTP が存在する位置の名前を入力します。

ステップ 4 [Server Name] フィールドまたは [IP Address] フィールドに、マウント ポイントを配置するサーバの名前または IP アドレスを入力します。

ステップ 5 [Mode] フィールドで、オプション ボタン([Active] または [Passive])をクリックして FTP モードを選択します。[Passive] モードを選択した場合、クライアントでは、コントロール接続とデータ接続がともに起動します。サーバは、この接続をリスンするポートの番号で応答します。

ステップ 6 FTP ファイル サーバへのディレクトリ パス名を [Path to Mount] フィールドに入力します。

ステップ 7 サーバに対するファイル システムのマウントを認可されているユーザの名前を、[User Name] フィールドに入力します。

ステップ 8 サーバに対するファイル システムのマウントを認可されているユーザのパスワードを、[Password] フィールドに入力します。

ステップ 9 [Confirm Password] フィールドで、パスワードを再入力します。

ステップ 10 [OK] をクリックします。

ダイアログボックスが閉じます。

ステップ 11 [Apply] をクリックします。

セキュリティ アプライアンスにマウント ポイントが追加され、その変更内容が実行コンフィギュレーションに保存されます。


 

ICMP アクセスの設定

デフォルトでは、IPv4 と IPv6 のいずれかを使用して、ICMP パケットを任意のセキュリティ アプライアンス インターフェイスへ送信できます。IPv6 の ICMP と IPv4 の ICMP は、機能の上では同じものです。ICMPv6 では、ICMP 宛先到達不能メッセージなどのエラー メッセージや、ICMP エコー要求/応答メッセージなどの情報メッセージが生成されます。さらに、IPv6 の ICMP パケットは、IPv6 の近隣探索プロセスや Path MTU Discovery 機能に使用されます。

ただし、デフォルトでは、セキュリティ アプライアンスはブロードキャスト アドレスへの ICMP エコー要求には応答しません。セキュリティ アプライアンスへの ICMP アクセスを許可するホストおよびネットワークのアドレスを制限することにより、セキュリティ アプライアンスを攻撃から保護できます。


) ICMP トラフィックに対してセキュリティ アプライアンスの通過を許可する手順については、「アクセス ルールおよび ACL の設定」を参照してください。


ICMP の到達不能メッセージ タイプ(type 3)の権限は、常に許可にすることをお勧めします。ICMP の到達不能メッセージを拒否すると、ICMP の Path MTU Discovery 機能がディセーブルになり、IPSec トラフィックおよび PPTP トラフィックが停止する場合があります。Path MTU Discovery の詳細については、RFC 1195 および RFC 1435 を参照してください。

ICMP ルールを設定すると、セキュリティ アプライアンスでは、すべてのトラフィックが暗黙的に拒否される前に、最初に一致した条件が ICMP トラフィックに適用されます。したがって、最初に一致したエントリが許可エントリの場合、ICMP パケットはそのまま処理されます。最初に一致したエントリが拒否エントリの場合または一致するエントリが存在しなかった場合は、セキュリティ アプライアンスにより ICMP パケットは破棄され、syslog メッセージが生成されます。ただし、ICMP ルールが設定されていない場合は、 許可 文が設定されているものとして処理されます。

ICMP アクセス ルールを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [ICMP] ペインで、 [Add] をクリックします。

ステップ 2 次の中から目的のオプション ボタンをクリックして、フィルタリングするインターネット プロトコルのバージョンを選択します。

[Both] (IPv4 トラフィックと IPv6 トラフィックをフィルタリングする)

[IPv4 only]

[IPv6 only]

ステップ 3 [ICMP] テーブルにルールを挿入する場合は、挿入位置の下にあるルールをクリックし、さらに [Insert] をクリックします。

右側のペインに [Create ICMP Rule] ダイアログボックスが表示されます。

ステップ 4 [ICMP Type] ドロップダウン リストから、このルールに使用する ICMP メッセージのタイプを選択します。

表 18-1 は、ICMP メッセージのタイプをまとめたものです。

 

表 18-1 ICMP タイプ リテラル

ICMP タイプ
リテラル

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

mask-request

18

mask-reply

31

conversion-error

32

mobile-redirect

ステップ 5 ルールを適用する宛先セキュリティ アプライアンスのインターフェイスを、[Interface selection] リストから選択します。

ステップ 6 [IP Address] フィールドで、次のいずれかの操作を行います。

ホストまたはネットワークの IP アドレスを入力します。

[Any Address] をクリックし、ステップ 9 に進みます。

ステップ 7 [Mask] ドロップダウン リストから、ネットワーク マスクを選択します。

ステップ 8 [OK] をクリックします。

ダイアログボックスが閉じます。

ステップ 9 (オプション)ICMP の到達不能メッセージに対する制限は、次の各オプションを使用して設定します。セキュリティ アプライアンスをホップの 1 つとして表示するトレースルートに対してセキュリティ アプライアンスの通過を許可するためには、[Configuration] > [Firewall] > [Service Policy Rules] > [Rule Actions] > [Connection Settings] ダイアログボックスの [Decrement time to live for a connection] オプションをイネーブルにするほか、レート制限を大きくする必要があります。

[Rate Limit]:到達不能メッセージのレート制限を、1 秒あたり 1 ~ 100 の範囲で設定します。デフォルト値は、1 秒あたり 1 です。

[Burst Size]:バースト レートを 1 ~ 10 の範囲で設定します。現在のシステムでは、バースト レートは使用されないため、いずれの値を選択しても構いません。

ステップ 10 [Apply] をクリックします。

ICMP ルールが [ICMP] テーブルの最後尾に追加され、その変更内容が実行コンフィギュレーションに保存されます。


 

管理インターフェイスの設定

セキュリティ アプライアンスの管理用に、セキュリティ レベルの高いインターフェイスを設定できます。管理インターフェイスが割り当てられると、固定 IP アドレスにより IPSec VPN トンネルを介して、その管理インターフェイス上で ASDM を実行できます。ただしそのためには、セキュリティ アプライアンス上で VPN が設定されており、かつ外部インターフェイスでダイナミックに割り当てられた IP アドレスが使用されていることが必要です。管理インターフェイスは、自宅からセキュリティ アプライアンスに対するアクセスや管理を、VPN クライアントを使用してセキュアに行う場合にも使用されます。


) セキュリティ アプライアンスに対してフェールオーバーが設定されている場合は、スタンバイ IP アドレスを使用する管理インターフェイスを少なくとも 1 つ設定しておくことをお勧めします。


管理インターフェイスを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [Management Interface] ペインの [Management Access Interface] ドロップダウン リストから、セキュリティ レベルの最も高いインターフェイス(内部インターフェイス)を選択します。

ステップ 2 [Apply] をクリックします。

管理インターフェイスが割り当てられ、変更内容が実行コンフィギュレーションに保存されます。


 

SNMP の設定

この項では、SNMP の設定方法について説明します。説明する内容は次のとおりです。

「SNMP について」

「SNMP パラメータおよび管理ステーションの設定」

「SNMP トラップの設定」

SNMP について

Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)を使用すると、中央からネットワーク デバイスをモニタリングできます。セキュリティ アプライアンス では、SNMP バージョン 1、2c、3 のほかトラップや SNMP 読み取りアクセスによるネットワーク モニタリングがサポートされていますが、SNMP 書き込みアクセスによるネットワーク モニタリングはサポートされていません。

セキュリティ アプライアンスからネットワーク管理ステーション(NMS)へトラップ(イベント通知)が送信されるように設定できるほか、NMS を使用してセキュリティ アプライアンス上にある Management Information Base(MIB; 管理情報ベース)のブラウジングを行うこともできます。また、CiscoWorks for Windows など、SNMP MIB-II に準拠したブラウザを使用して、SNMP トラップの受信や MIB のブラウジングを行うことが可能です。

セキュリティ アプライアンス には、エラーの発生時に、指定された管理ステーションへの通知を行う SNMP エージェントがあります。ただし、通知が行われるのは、ネットワーク内のリンクが起動またはダウンした場合など、発生時に必ず通知されるよう事前に定義されているエラーが発生した場合に限ります。送信される通知には、SNMP OID が含まれています。管理ステーションでは、この SNMP OID により通知が識別されます。

セキュリティ アプライアンスでは、管理ステーションから情報が要求された場合の応答についても、SNMP エージェントが行います。

この項は、次の内容で構成されています。

「SNMP の用語について」

「管理情報ベースおよびトラップについて」

SNMP の用語について

SNMP の主な関連用語について説明します。

 

用語
説明

エージェント

セキュリティ アプライアンス上で稼動する SNMP サーバ。情報や処理に関して管理ステーションから発行される要求には、エージェントが応答します。また、SNMP マネージャで表示や変更が可能なオブジェクトのコレクションである管理情報ベース(MIB)へのアクセスも、エージェントにより制御されます。

ブラウジング

デバイスの SNMP エージェントから必要な情報をポーリングすることにより、管理ステーションからデバイスのヘルス モニタリングを行うこと。ブラウジングでは、値を特定するために、管理ステーションから MIB ツリーの一連の GET-NEXT 要求または GET-BULK 要求が発行されることもあります。

管理ステーション

SNMP イベントのモニタリングや、セキュリティ アプライアンスなどのデバイスの管理を行うための PC またはワークステーション。

MIB

Management Information Bases (管理情報ベース)の略。パケット、接続、バッファ、フェールオーバーなどに関する情報を収集するための標準データ構造です。MIB は製品ごとに定義され、多くのネットワーク デバイスで使用されるプロトコルやハードウェア規格も MIB に定義されています。SNMP 管理ステーションでは、MIB のブラウジングが行えるほか、特定のデータやイベントを、その発生時に送信するよう要求できます。一部の MIB データは、管理目的で修正できます。

OID

Object Identifier(オブジェクト ID)の略。管理ステーションでは、システムの OID を基にしてデバイスが識別されます。また OID は、モニタリングや表示の対象となる情報の送信元をユーザに示す目的でも使用されます。

トラップ

SNMP エージェントから管理ステーションへのメッセージを生成する事前定義イベント。イベントの中には、リンク起動イベント、リンクダウン イベント、コールドスタート イベント、認証イベント、syslog イベントなどがあります。

管理情報ベースおよびトラップについて

MIB は、標準的なものと、各企業に特化したものとがあります。標準 MIB は IETF により開発されたもので、さまざまな RFC で規定されています。ネットワーク デバイス上で発生する重要なイベント(大半はエラーや障害)は、トラップによりレポートされます。SNMP トラップは、標準 MIB または企業に特化した MIB で定義されます。標準トラップは IETF により開発されたもので、さまざまな RFC で規定されています。標準トラップは、セキュリティ アプライアンス ソフトウェアに集約されます。

RFC、標準 MIB、および標準トラップは、必要に応じて IETF の Web サイトからダウンロードできます。IETF の Web サイトの URL は次のとおりです。

http://www.ietf.org/

シスコの MIB および OID は、次の場所からダウンロードできます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

シスコの OID は、次の場所からダウンロードできます。

ftp://ftp.cisco.com/pub/mibs/oid/oid.tar.gz

SNMP パラメータおよび管理ステーションの設定

この項は、次の内容で構成されています。

「SNMP パラメータの設定(バージョン 1 および 2c)」

「SNMP パラメータの設定(バージョン 3)」

「SNMP 管理ステーションの追加」

SNMP パラメータの設定(バージョン 1 および 2c)

SNMP バージョン 1 および 2c のパラメータを設定するには、次の手順を実行します。


ステップ 1 [ASDM] メイン ウィンドウで、 [Configuration] > [Device Management] > [Management Access] > [SNMP] を選択します。

ステップ 2 SNMP バージョン 1 および 2c にだけ適用されるデフォルトのコミュニティ ストリングを、[Community String (default)] フィールドに入力します。SNMP バージョン 3 のパラメータを設定する手順については、「SNMP パラメータの設定(バージョン 3)」を参照してください。

SNMP 管理ステーションからセキュリティ アプライアンスへ要求を送信する際に使用されるパスワードを入力します。SNMP のコミュニティ ストリングは、SNMP 管理ステーションと管理対象ネットワーク ノード間で共有される秘密情報です。セキュリティ アプライアンスでは、パスワードを基にして、受信する SNMP 要求が有効かどうかの判断が行われます。パスワードは、大文字と小文字が区別され、その長さは最大 32 文字までです。スペースは使用できません。デフォルトは「public」です。SNMP バージョン 2c では、管理ステーションごとに、別々のコミュニティ ストリングを設定できます。コミュニティ ストリングがどの管理ステーションにも設定されていない場合、ここで設定した値がデフォルトとして使用されます。

ステップ 3 [Contact] フィールドに、セキュリティ アプライアンスのシステム管理者の名前を入力します。入力するテキストは、大文字と小文字が区別され、その長さは最大 127 文字までです。スペースは使用できますが、連続する複数のスペースは 1 個のスペースに短縮されます。

ステップ 4 [Location] フィールドに、SNMP で管理されているセキュリティ アプライアンスの場所を入力します。入力するテキストは、大文字と小文字が区別され、その長さは最大 127 文字までです。スペースは使用できますが、連続する複数のスペースは 1 個のスペースに短縮されます。

ステップ 5 [Listening Port] フィールドに、管理ステーションからの SNMP 要求をリスンするセキュリティ アプライアンスのポートの番号を入力します。ただし、デフォルトのポート番号 161 をそのまま使用することもできます。

ステップ 6 [Apply] をクリックします。

SNMP バージョン 1 および 2c のパラメータが設定され、その変更内容が実行コンフィギュレーションに保存されます。


 

SNMP パラメータの設定(バージョン 3)

SNMP バージョン 3 では、追加的な認証オプションやプライバシー オプションを設定できます。これらのオプションにより、SNMP サーバのグループやユーザに基づいて、よりセキュアなプロトコルの動作を実現できます。SNMP バージョン 3 のパラメータを設定するには、次の手順を実行します。


ステップ 1 [ASDM] メイン ウィンドウで、 [Configuration] > [Device Management] > [Management Access] > [SNMP] を選択します。

ステップ 2 設定済みのユーザまたは新規ユーザをグループに追加する場合は、[SNMPv3 Users] ペインで [Add] をクリックします。ユーザ パラメータを変更する場合は、 [Edit] をクリックします。設定済みユーザをグループから削除する場合は、 [Delete] をクリックします。グループ内に残る最後のユーザを削除すると、そのグループは ASDM により削除されます。


) いったんユーザが作成されたら、そのユーザが属するグループは変更できません。


[Add SNMP User Entry] ダイアログボックスが表示されます。

ステップ 3 [Group Name] ドロップダウン リストから、SNMP ユーザを追加するグループを選択します。選択できるグループは次のとおりです。

[Auth&Encryption]:このグループに属するユーザには、認証と暗号化が設定されます。

[Authentication_Only]:このグループに属するユーザには、認証だけ設定されます。

[No_Authentication]:このグループに属するユーザには、認証も暗号化も設定されません。

ステップ 4 [Username] フィールドに、設定済みユーザまたは新規ユーザの名前を入力します。ユーザ名は、選択した SNMP サーバ グループ内で一意であることが必要です。

ステップ 5 パスワードを暗号化する場合は、 [Encrypt Password] オプション ボタンをクリックします。このオプションを選択した場合は、パスワードを MD5 ハッシュ値として入力する必要があります。

ステップ 6 [MD5] [SHA] のいずれかのオプション ボタンをクリックして、使用する認証のタイプを指定します。

ステップ 7 認証に使用するパスワードを、[Authentication Password] フィールドに入力します。

ステップ 8 [DES] [3DES] [AES] の中からいずれかのオプション ボタンをクリックして、使用する暗号化のタイプを指定します。

ステップ 9 AES 暗号化を選択した場合は、[AES Size] ドロップダウン リストから、 [128] [192] [256] のいずれかを選択して、AES 暗号化のレベルを指定します。

ステップ 10 暗号化に使用するパスワードを、[Encryption Password] フィールドに入力します。パスワードの長さは、最大で 64 文字までです。

ステップ 11 [OK] をクリックすると、グループが作成され(指定したユーザがそのグループに属する最初のユーザである場合)、[Group Name] ドロップダウン リストにそのグループが表示されます。またそのグループ内にユーザが作成されます。

[Add SNMP User Entry] ダイアログボックスが閉じます。

[SNMPv3 Users] ペインには、SNMP バージョン 3 のサーバ グループ名、指定したグループに属するユーザの名前、暗号化されたパスワードの設定内容、認証の設定内容、暗号化アルゴリズムの設定内容、および AES サイズの設定内容が一覧表示されます。

ステップ 12 [Apply] をクリックします。

SNMP バージョン 3 のパラメータが設定され、その変更内容が実行コンフィギュレーションに保存されます。


 

SNMP 管理ステーションの追加

SNMP 管理ステーションを追加するには、次の手順を実行します。


ステップ 1 [ASDM] メイン ウィンドウで、 [Configuration] > [Device Management] > [Management Access] > [SNMP] を選択します。

ステップ 2 [SNMP Management Stations] ペインで、 [Add] をクリックします。

[Add SNMP Host Access Entry] ダイアログボックスが表示されます。

ステップ 3 [Interface Name] ドロップダウン リストから、SNMP ホストが常駐するインターフェイスを選択します。

ステップ 4 [IP Address] フィールドに、SNMP ホストの IP アドレスを入力します。

ステップ 5 [UDP Port] フィールドに SNMP ホストの UDP ポートを入力します。デフォルトのポート 162 をそのまま使用することもできます。

ステップ 6 [Community String] フィールドに、SNMP ホストのコミュニティ ストリングを入力します。管理ステーションに対してコミュニティ ストリングが指定されていない場合は、[SNMP Management Stations] ペインの [Community String (default)] フィールドに設定されている値が使用されます。

ステップ 7 [SNMP Version] ドロップダウン リストから、SNMP ホストで使用される SNMP のバージョンを選択します。

ステップ 8 前の手順で [SNMP Version 3] を選択した場合は、[Username] ドロップダウン リストから、設定済みユーザの名前を選択します。

ステップ 9 [Poll] チェックボックスまたは [Trap] チェックボックスをオンにして、管理ステーションとの通信に使用する方式を指定します。

ステップ 10 [OK] をクリックします。

[Add SNMP Host Access Entry] ダイアログボックスが閉じます。

ステップ 11 [Apply] をクリックします。

管理ステーションが設定され、その変更内容が実行コンフィギュレーションに保存されます。


 

SNMP トラップの設定

SNMP エージェントで生成するトラップ、およびそれらのトラップをどのようにネットワーク管理ステーションへ送信して集約するかを指定するには、次の手順を実行します。


ステップ 1 [ASDM] メイン ウィンドウで、 [Configuration] > [Device Management] > [Management Access] > [SNMP] を選択します。

ステップ 2 [Configure Traps] をクリックします。

[SNMP Trap Configuration] ダイアログボックスが表示されます。

ステップ 3 SNMP トラップを介して通知を発行するための SNMP イベントを指定するため、目的のチェックボックスをオンにします。

ステップ 4 [OK] をクリックします。

[SNMP Trap Configuration] ダイアログボックスが閉じます。

ステップ 5 [Apply] をクリックします。

SNMP トラップが設定され、その変更内容が実行コンフィギュレーションに保存されます。


 

管理アクセス ルールの設定

特定のピア(または複数のピア)との間で送受信されるトラフィックを許可または拒否するために使用されるのがアクセス ルールです。それに対して、管理アクセス ルールは、to-the-box トラフィックのアクセス コントロールに使用されます。たとえば、管理アクセス ルールを使用することにより、IKE DoS(サービス拒絶)攻撃を検出するだけでなく、それらをブロックすることもできます。

管理アクセス ルールを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Management Access] > [Management Access Rules] を選択します。

ステップ 2 [Add] をクリックし、次のいずれかの処理内容を選択します。

[Add Management Access Rule]

[Add IPv6 Management Access Rule]

選択したアクションに対応する [Add Management Access Rule] ダイアログボックスが表示されます。

ステップ 3 [Interface] ドロップダウン リストから、ルールを適用するインターフェイスを選択します。

ステップ 4 [Action] フィールドで、次のいずれかをクリックします。

[Permit] (目的のトラフィックを許可)

[Deny] (目的のトラフィックを拒否)

ステップ 5 [Source] フィールドで [Any] を選択するか、省略符号([...])ボタンをクリックしてアドレスを参照します。

ステップ 6 [Service] フィールドで、ルールに指定するトラフィックのサービス名を入力するか、省略符号([...])ボタンをクリックしてサービスを参照します。

ステップ 7 (オプション)[Description] フィールドに、追加する管理アクセス ルールについての内容説明を入力します。

ステップ 8 (オプション)追加するアクセス ルールについてのログ メッセージが必要な場合は、 [Enable Logging] チェックボックスをオンにし、[Logging Level] ドロップダウン リストから、適用するログ レベルを選択します。デフォルトのレベルは [Informational] です。

ステップ 9 (オプション)高度なオプションを設定する場合は、 [More Options] をクリックして、次のように設定を行います。

追加する管理アクセス ルールを無効にする場合は、 [Enable Rule] チェックボックスをオフにします。

[Source Service] フィールドに送信元サービスを入力するか、省略符号([...])ボタンをクリックしてサービスを参照します。

宛先サービスと送信元サービスは同じであることが必要です。[Destination Service] フィールドの内容をコピーし、[Source Service] フィールドに貼り付けます。

ロギング間隔を設定する場合(ただし、ロギングをイネーブルにし、デフォルト以外の設定を選択した場合)は、[Logging Interval] フィールドに値を入力します。

追加するルールに対して事前定義済みの時間範囲を選択する場合は、[Time Range] ドロップダウン リストから時間範囲を選択するか、省略符号([...])ボタンをクリックして時間範囲を参照します。

[Add Time Range] ダイアログボックスが表示されます。時間範囲の追加に関する詳細については、「時間範囲の設定」を参照してください。

ステップ 10 [OK] をクリックします。ダイアログボックスが閉じ、管理アクセス ルールが追加されます。

ステップ 11 [Apply] をクリックします。ルールが実行コンフィギュレーションに保存されます。


) 管理アクセス ルールを作成したら、ペインの下部にあるオプション ボタンをクリックして、表示内容の順序を変更できるほか、IPv4 ルールと IPv6 ルールをどちらも表示するのか、IPv4 ルールだけ表示するのか、IPv6 ルールだけ表示するのかを指定できます。



 

システム管理者の AAA の設定

この項では、システム管理者の認証とコマンド認可をイネーブルにする方法について説明します。システム管理者の AAA を設定する前に、まずローカル データベースまたは AAA サーバを設定する必要があります(「AAA サーバとローカル データベースのサポート」または「AAA サーバ グループの設定」を参照)。

この項は、次の内容で構成されています。

「CLI、ASDM、および enable コマンドの認証の設定」

「管理認可を使用したユーザの CLI および ASDM アクセスの制限」

「コマンド認可の設定」

「管理アクセス アカウンティングの設定」

「ロックアウトからの回復」

CLI、ASDM、および enable コマンドの認証の設定

CLI の認証をイネーブルにすると、セキュリティ アプライアンスでは、ログインの際にユーザ名とパスワードの入力を求めるプロンプトが表示されます。ユーザ名とパスワードを入力すると、ユーザ EXEC モードにアクセスできます。

特権 EXEC モードにアクセスする場合は、 enable コマンドまたは login コマンド(ローカル データベースを使用する場合に限る)を入力します。

イネーブル 認証を設定した場合、セキュリティ アプライアンスではユーザ名とパスワードの入力を求めるプロンプトが表示されます。 イネーブル 認証を設定しない場合は、 enable コマンドを入力するときにシステム イネーブル パスワード( enable password コマンドで設定)を入力します。ただし、 enable コマンドを入力した後に イネーブル 認証を使用しないと、特定のユーザとしてログインした状態でなくなります。ユーザ名を保持する場合は、 イネーブル 認証を使用します。

ローカル データベースを使用した認証を行う場合は、 login コマンドを使用できます。このコマンドを使用した場合、ユーザ名は保持されますが、認証を有効にするための設定は必要ありません。


) セキュリティ アプライアンスにおいて Telnet ユーザ、SSH ユーザ、または HTTP ユーザを認証できるようにするには、まずセキュリティ アプライアンスへのアクセスを設定する必要があります(「ASDM、Telnet、または SSH を使用するデバイス アクセスの設定」を参照)。これらのペインでは、セキュリティ アプライアンスとの通信が許可される IP アドレスを指定します。


CLI、ASDM、または イネーブル 認証を設定するには、次の手順を実行します。


ステップ 1 enable コマンドを使用するユーザを認証する場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] に移動し、次のように設定を行います。

a. [Enable] チェックボックスをオンにします。

b. [Server Group] ドロップダウン リストから、サーバ グループ名または LOCAL データベースを選択します。

c. (オプション)AAA サーバを選択する場合は、AAA サーバが使用不可になった場合のフォールバック方式としてローカル データベースが使用されるようにセキュリティ アプライアンスを設定できます。 [Use LOCAL when server group fails] チェックボックスをオンにします。ローカル データベースでは AAA サーバと同じユーザ名およびパスワードを使用することをお勧めします。これは、セキュリティ アプライアンスのプロンプトにはどちらの方式が使用されているかが明示されないためです。

ステップ 2 CLI または ASDM にアクセスするユーザを認証する場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] に移動し、次のように設定を行います。

a. 次のチェックボックスをオンにします(複数可)。

[HTTP/ASDM] :HTTPS を使用してASDMにアクセスする セキュリティ アプライアンス クライアントを認証します。AAA サーバを使用する場合、設定する必要があるのは HTTP 認証だけです。デフォルトでは、このコマンドを設定しない場合でも、ASDM での認証にはローカル データベースが使用されます。

[Serial] :コンソール ポートを使用してセキュリティ アプライアンスにアクセスするユーザを認証します。

[SSH] :SSH を使用してセキュリティ アプライアンスにアクセスするユーザを認証します。

[Telnet] :Telnet を使用してセキュリティ アプライアンスにアクセスするユーザを認証します。

b. 対応するチェックボックスをオンにしたサービスごとに、[Server Group] ドロップダウン リストから、サーバ グループ名または LOCAL データベースを選択します。

c. (オプション)AAA サーバを選択する場合は、AAA サーバが使用不可になった場合のフォールバック方式としてローカル データベースが使用されるようにセキュリティ アプライアンスを設定できます。 [Use LOCAL when server group fails] チェックボックスをオンにします。ローカル データベースでは AAA サーバと同じユーザ名およびパスワードを使用することをお勧めします。これは、セキュリティ アプライアンスのプロンプトにはどちらの方式が使用されているかが明示されないためです。

ステップ 3 [Apply] をクリックします。


 

管理認可を使用したユーザの CLI および ASDM アクセスの制限

CLI または イネーブル 認証を設定すると、CLI、ASDM、または enable コマンドにアクセスするローカル ユーザ、RADIUS ユーザ、TACACS+ ユーザ、または LDAP ユーザ(LDAP アトリビュートを RADIUS アトリビュートにマッピングした場合)を制限できます。


) 管理認可にはシリアル アクセスは含まれないため、[Authentication] > [Serial] オプションをイネーブルにすると、認証されたユーザはすべて、コンソール ポートにアクセスできます。


管理認可を設定するには、次の手順を実行します。


ステップ 1 管理認可をイネーブルにする場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] に移動し、 [Perform authorization for exec shell access] > [Enable] チェックボックスをオンにします。

このオプションを選択すると、RADIUS の管理ユーザ特権レベルのサポートもイネーブルになります。管理ユーザ特権レベルは、ローカル コマンド特権レベルと組み合せて、コマンド認可に使用できます。詳細については、「ローカル コマンド認可の設定」を参照してください。

ステップ 2 管理認可対象のユーザを設定する手順については、次に示す AAA サーバ タイプまたはローカル ユーザの各要件を参照してください。

RADIUS ユーザまたは LDAP(マッピングされた)ユーザ:Service-Type アトリビュートに次のいずれかの値を設定します。

RADIUS ユーザまたは LDAP(マッピングされた)ユーザ:次のいずれかの値にマッピングされた IETF RADIUS の数値型アトリビュート Service-Type を使用します。

Service-Type 6(管理):[Authentication] タブのオプションで指定されたすべてのサービスへのフル アクセスを許可します。

Service-Type 7(NAS プロンプト):Telnet 認証または SSH 認証のオプションを設定した場合は CLI へのアクセスを許可し、HTTP オプションを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM 監視アクセスは許可されます。[Enable] オプションで イネーブル 認証を設定した場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

Service-Type 5(アウトバウンド):管理アクセスを拒否します。ユーザは、[Authentication] タブのオプションで指定されたいずれのサービスも使用できません([Serial] オプションは除きます。つまり、シリアル アクセスは許可されます)。ただし、リモートアクセス(IPSec および SSL)ユーザは、リモートアクセス セッションを認証することも終了することもできます。

TACACS+ ユーザ:「service=shell」で認可が要求されます。サーバは PASS または FAIL で応答します。

PASS(特権レベル 1):[Authentication] タブのオプションで指定されたすべてのサービスへのフル アクセスを許可します。

PASS(特権レベル 2 以上):Telnet 認証または SSH 認証のオプションを設定した場合は CLI へのアクセスを許可し、HTTP オプションを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM 監視アクセスは許可されます。[Enable] オプションで イネーブル 認証を設定した場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

FAIL:管理アクセスを拒否します。ユーザは、[Authentication] タブのオプションで指定されたいずれのサービスも使用できません([Serial] オプションは除きます。つまり、シリアル アクセスは許可されます)。

ローカル ユーザ:[Access Restriction] オプションを設定します。「ユーザ アカウントの追加」を参照してください。アクセス制限のデフォルト値は [Full Access] です。この場合は、[Authentication] タブのオプションで指定されたすべてのサービスに対して、フル アクセスが許可されます。


 

コマンド認可の設定

コマンドへのアクセスを制御する場合、セキュリティ アプライアンスでは、コマンド認可を設定して、ユーザが使用できるコマンドを決定できます。デフォルトでは、ログインした時点でユーザ EXEC モードにアクセスできます。ただし、このモードで使用できるのは最小限のコマンドだけです。 enable コマンド(ローカル データベースを使用している場合は login コマンド)を入力すると、特権 EXEC モードにアクセスできます。このモードでは、コンフィギュレーション コマンドなど、高度なコマンドにアクセスできます。

この項は、次の内容で構成されています。

「コマンド認可の概要」

「ローカル コマンド認可の設定」

「TACACS+ コマンド認可の設定」

コマンド認可の概要

この項では、コマンド認可について説明します。説明する内容は次のとおりです。

「サポートされるコマンド認可方式」

「ユーザ クレデンシャルの保持について」

「セキュリティ コンテキストとコマンド認可」

サポートされるコマンド認可方式

コマンド認可方式は、次の 2 つのうちのいずれかを使用できます。

ローカル特権レベル:セキュリティ アプライアンスでのコマンド特権レベルを設定します。ローカル ユーザ、RADIUS ユーザ、または LDAP(LDAP アトリビュートを RADIUS アトリビュートにマッピングしている場合)ユーザが CLI アクセスの認証を受けると、セキュリティ アプライアンスではそのユーザに対して、ローカル データベース、RADIUS サーバ、または LDAP サーバにより定義された特権レベルが割り当てられます。ユーザがアクセスできるコマンドは、ユーザの特権レベル以下のコマンドです。ただし、いずれのユーザも、初回ログイン時にはユーザ EXEC モードにアクセスします(レベル 0 または 1 のコマンド)。特権 EXEC モード(レベル 2 以上のコマンド)にアクセスするには、ユーザは enable コマンドを使用して再度認証を受ける必要があります。ただし、 login コマンドでログインすることはできます(ローカル データベースのみ)。


) ローカル コマンド認可は、ローカル データベースにユーザがない場合や、CLI 認証またはイネーブル認証を受けていない場合でも使用できます。一方、enable コマンドを入力した場合は、システム イネーブル パスワードを入力することになります。この場合、セキュリティ アプライアンスによりレベル 15 が割り当てられます。さらに、各レベルに対してイネーブル パスワードを作成できます。これにより、enable n(2 ~ 15)と入力すると、セキュリティ アプライアンスによりレベル n が割り当てられます。これらのレベルは、ローカル コマンド認可が有効な場合にだけ使用されます。下記の「ローカル コマンド認可の設定」を参照してください (enable の詳細については、『Cisco ASA 5500 Series Command Reference』を参照してください)。


TACACS+ サーバ特権レベル:TACACS+ サーバで、ユーザまたはグループが CLI アクセスの認証を受けた後に使用できるコマンドを設定します。CLI でユーザが入力するすべてのコマンドは、TACACS+ サーバでチェックされます。

ユーザ クレデンシャルの保持について

ユーザは、セキュリティ アプライアンスにログインすると、認証用のユーザ名とパスワードを入力するように要求されます。セキュリティ アプライアンスでは、この後セッション内でさらに認証が必要になった場合に備えて、これらのセッション クレデンシャルが保持されます。

コンフィギュレーションが下記のような場合、ユーザがログイン時に認証を受ける必要があるのはローカル サーバだけです。それ以降のシリアル認可では、保存されたクレデンシャルが使用されます。また、ユーザには、特権レベル 15 のパスワードを要求するプロンプトが表示されます。特権モードを終了すると、ユーザは再度認証を受けます。ユーザ クレデンシャルは、特権モードでは保持されません。

ローカル サーバが、ユーザ アクセスの認証を行うように設定されている。

特権レベル 15 のコマンド アクセスがパスワードを要求するように設定されている。

ユーザのアカウントが、シリアルのみの認可を受けるように設定されている(コンソールまたは ASDM へのアクセスなし)。

ユーザのアカウントに特権レベル 15 のコマンド アクセスが設定されている。

次の表は、このような場合にセキュリティ アプライアンスでクレデンシャルがどのように使用されるかを示したものです。

 

必要なクレデンシャル
ユーザ名および
パスワードによる認証
シリアル認可
特権モードの
コマンド認可
特権モード
終了認可

ユーザ名

あり

なし

なし

あり

パスワード

あり

なし

なし

あり

特権モード パスワード

なし

なし

あり

なし

セキュリティ コンテキストとコマンド認可

コマンド認可を複数のセキュリティ コンテキストで実装する場合、次の重要事項を考慮する必要があります。

AAA 設定はコンテキストごとに別個であり、コンテキスト間で共有されることはありません。

コマンド認可の設定時には、各セキュリティ コンテキストを別個に設定する必要があります。これにより、セキュリティ コンテキストごとに異なるコマンド認可を実施できるようになります。

セキュリティ コンテキストを切り替えるとき、新しいコンテキスト セッションでは、ログイン時に指定したユーザ名に許可されるコマンドが異なる可能性があること、またはコマンド認可がまったく設定されていない可能性があることを管理者は考慮する必要があります。管理者は、コマンド認可がセキュリティ コンテキスト間で異なる可能性があることを理解しておかないと、混乱を招くおそれがあります。この動作は、次の点によってさらに複雑になります。

changeto コマンドで開始した新しいコンテキスト セッションでは、前のコンテキスト セッションで使用されていたユーザ名に関係なく、常にデフォルトの「enable_15」というユーザ名が管理者 ID として使用されます。ユーザ enable_15 に対してコマンド認可が設定されていない場合、またはユーザ enable_15 の認可が前のコンテキスト セッションのユーザの認可とは異なる場合、この動作は混乱の原因になる可能性があります。

この動作は、コマンド アカウンティングにも影響します。これは、コマンド アカウンティングが役立つのが、発行された各コマンドを正確に特定の管理者に関連付けられる場合に限られるためです。 changeto コマンドの使用権限を持つ管理者はすべて、切り替え後のコンテキストでユーザ名 enable_15 を使用できるため、コマンド アカウンティング レコードによっても、ユーザ名 enable_15 としてログインしたのが誰かを容易には識別できないことがあります。コンテキストごとに異なるアカウンティング サーバを使用する場合、ユーザ名 enable_15 を使用しているのが誰かを追跡するには、複数のサーバ間でデータの関連を相互に比較する必要があります。

コマンド認可の設定時には、次の点を考慮してください。

changeto コマンドの使用権限を持つ管理者には、切り替え後の各コンテキストでユーザ enable_15 に許可されているすべてのコマンドを使用する権限があります。

コマンドの認可をコンテキスト別に行う場合は、それぞれのコンテキストにおいて、 changeto コマンドの使用権限を持つ管理者が使用を拒否されているコマンドは、ユーザ enable_15 もその使用を拒否されるようにする必要があります。

セキュリティ コンテキストを切り替える場合、管理者は特権 EXEC モードを終了して、 enable コマンドを再入力すれば、必要なユーザ名を使用できます。


) システム実行スペースでは AAA コマンドがサポートされていないため、システム実行スペースではコマンド認可は使用できません。


ローカル コマンド認可の設定

ローカル コマンド認可では、コマンドを 16 の特権レベル(0 ~ 15)のいずれかに割り当てることができます。デフォルトでは、各コマンドは特権レベル 0 または 15 に割り当てられます。それぞれのユーザには、特定の特権レベルを指定できます。各ユーザは、その特権レベル以下であれば、どのコマンドでも入力できます。セキュリティ アプライアンスは、ローカル データベース、RADIUS サーバ、または LDAP サーバ(LDAP アトリビュートを RADIUS アトリビュートにマッピングしている場合)に定義されているユーザ特権レベルをサポートしています。「LDAP アトリビュート マップの設定」を参照してください。

この項は、次の内容で構成されています。

「ローカル コマンド認可の前提条件」

「デフォルトのコマンド特権レベル」

「コマンドへの特権レベルの割り当てと認可のイネーブル化」

ローカル コマンド認可の前提条件

コマンド認可の設定の一部として次の操作を実行します。

イネーブル 認証を設定します (「CLI、ASDM、および enable コマンドの認証の設定」を参照)。

イネーブル 認証は、ユーザが enable コマンドにアクセスした後もユーザ名が保持されるようにするうえでは不可欠です。

一方、設定の必要がない login コマンド(認証を受けた enable コマンドと同等のコマンド。ローカル データベースに限って使用可能)を使用することもできます。ただし、この方法は イネーブル 認証に比べセキュリティ レベルが低いため、お勧めできません。

また、CLI 認証も使用できますが、必須ではありません。

それぞれのユーザ タイプには、次のような前提条件があります。

ローカル データベース ユーザ:ローカル データベース内の各ユーザを特権レベル 0 ~ 15 に設定します。

ローカル データベースを設定する手順については、「AAA サーバとローカル データベースのサポート」を参照してください。

RADIUS ユーザ:各ユーザに対し、Cisco VSA CVPN3000-Privilege-Level として、0 ~ 15 のうちいずれかの値を設定します。

LDAP ユーザ:各ユーザに対し、特権レベル 0 ~ 15 のいずれかを設定してから、LDAP アトリビュートを Cisco VAS CVPN3000-Privilege-Level にマッピングします(「LDAP アトリビュート マップの設定」を参照)。

デフォルトのコマンド特権レベル

デフォルトで特権レベル 0 に割り当てられるコマンドは次のとおりです。これ以外のコマンドはすべて、レベル 15 に割り当てられます。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

コンフィギュレーション モード コマンドのレベルを 15 未満に変更する場合は、必ず configure コマンドのレベルもそれと同じレベルに変更します。変更しないと、ユーザはコンフィギュレーション モードにアクセスできません。

コマンドへの特権レベルの割り当てと認可のイネーブル化

コマンドを新しい特権レベルに割り当て、認可をイネーブルにするには、次の手順を実行します。


ステップ 1 コマンド認可をイネーブルにする場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] に移動し、 [Enable authorization for command access] > [Enable] チェックボックスをオンにします。

ステップ 2 [Server Group] ドロップダウン リストから、 [LOCAL] を選択します。

ステップ 3 ローカル コマンド認可をイネーブルにすると、オプションで、特権レベルを個々のコマンドまたはコマンド グループに手動で割り当てたり、事前定義済みユーザ アカウント特権をイネーブルにしたりできます。

事前定義済みユーザ アカウント特権を使用する場合は、 [Set ASDM Defined User Roles] をクリックします。

[ASDM Defined User Roles Setup] ダイアログボックスに、コマンドとそのレベルが表示されます。[Yes] をクリックすると、事前定義済みユーザ アカウント特権を使用できるようになります。事前定義済みユーザ アカウント特権には、[Admin](特権レベル 15、すべての CLI コマンドへのフル アクセス権)、[Read Only](特権レベル 5、読み取り専用アクセス権)、[Monitor Only](特権レベル 3、[Monitoring] セクションへのアクセス権のみ)があります。

コマンド レベルを手動で設定する場合は、 [Configure Command Privileges] をクリックします。

[Command Privileges Setup] ダイアログボックスが表示されます。[Command Mode] ドロップダウン リストから [--All Modes--] を選択すると、すべてのコマンドを表示できます。代わりに、コンフィギュレーション モードを選択し、そのモードで使用可能なコマンドを表示することもできます。たとえば、 [context] を選択すると、コンテキスト コンフィギュレーション モードで使用可能なすべてのコマンドを表示できます。コンフィギュレーション モードだけでなく、ユーザ EXEC モードや特権 EXEC モードでも入力が可能で、かつモードごとに異なるアクションが実行されるようなコマンドを使用する場合は、これらのモードに対して別個に特権レベルを設定できます。

[Variant] カラムには、[show]、[clear]、または [cmd] が表示されます。特権は、コマンドの show 形式、clear 形式、または configure 形式に対してのみ設定できます。コマンドの configure 形式では通常、変更されないコマンド( show プレフィクスおよび clear プレフィクスがないコマンド)または no 形式のどちらかとして、コンフィギュレーションの変更が発生します。

コマンドのレベルを変更する場合は、コマンドをダブルクリックするか、 [Edit] をクリックします。レベルは 0 ~ 15 の範囲で設定できます。特権レベルを設定できるのは、 メイン コマンドに限定されます。たとえば、すべての aaa コマンドに対してレベルを設定することはできますが、 aaa authentication コマンドや aaa authorization コマンドのレベルを個別に設定することはできません。

表示されているすべてのコマンドのレベルを変更する場合は、 [Select All] をクリックした後に、 [Edit] をクリックします。

[OK] をクリックして変更内容を確定します。

ステップ 4 RADIUS の管理ユーザ特権レベルをサポートする場合は、 [Perform authorization for exec shell access] > [Enable] チェックボックスをオンにします。

このオプションを設定しないと、セキュリティ アプライアンスではローカル データベース ユーザの特権レベルだけがサポートされ、他のタイプのユーザにはデフォルトのレベル 15 がそのまま適用されます。

また、このオプションを設定すると、ローカル ユーザ、RADIUS ユーザ、LDAP(マッピング済み)ユーザ、および TACACS+ ユーザに対する管理認可がイネーブルになります。詳細については、「管理認可を使用したユーザの CLI および ASDM アクセスの制限」を参照してください。

ステップ 5 [Apply] をクリックします。


 

TACACS+ コマンド認可の設定

TACACS+ コマンド認可がイネーブルになっている場合、ユーザが CLI でコマンドを入力すると、セキュリティ アプライアンスから TACACS+ サーバへコマンドとユーザ名が送信され、コマンドが認可されているかどうかの判定が行われます。

TACACS+ サーバを使用したコマンド認可の設定時には、そのコマンド認可が目的どおりに機能することを確認してからコンフィギュレーションを保存してください。誤ったコンフィギュレーションによりロックアウトされた場合でも、通常はセキュリティ アプライアンスを再起動すればアクセス権を回復できます。それでもロックアウトされる場合は、「ロックアウトからの回復」を参照してください。

TACACS+ システムには十分な安定性と信頼性を確保する必要があります。必要な信頼性のレベルとして、通常は TACACS+ サーバ システム、およびセキュリティ アプライアンスへの接続に十分な冗長性が求められます。たとえば、インターフェイス 1 に接続するサーバと、インターフェイス 2 に接続するサーバをそれぞれ 1 つずつ、TACACS+ サーバ プールに追加します。また、TACACS+ サーバが使用できない場合のフォールバック方式としてローカル コマンド認可も設定できます。この場合、「コマンド認可の設定」に従って、ローカル ユーザとコマンド特権レベルを設定する必要があります。

この項は、次の内容で構成されています。

「TACACS+ コマンド認可の前提条件」

「TACACS+ サーバのコマンドの設定」

「TACACS+ コマンド認可のイネーブル化」

TACACS+ コマンド認可の前提条件

CLI および イネーブル 認証を設定します(「CLI、ASDM、および enable コマンドの認証の設定」を参照)。

TACACS+ サーバのコマンドの設定

Cisco Secure Access Control Server(ACS)TACACS+ サーバのコマンドは、グループまたは個別ユーザに対する共有プロファイル コンポーネントとして設定できます。サードパーティの TACACS+ サーバにおけるコマンド認可サポートの詳細については、サーバのマニュアルを参照してください。

Cisco Secure ACS バージョン 3.1 でのコマンドの設定については次のガイドラインを参照してください。このガイドラインの多くは、サードバーティのサーバに対しても適用されます。

セキュリティ アプライアンスでは、コマンドを「シェル」コマンドとして認可されるように送信されるため、TACACS+ サーバでもそのコマンドはシェル コマンドとして設定してください。


) Cisco Secure ACS には、「pix-shell」というコマンド タイプが含まれている場合があります。このタイプのコマンドはセキュリティ アプライアンスのコマンド認可には使用しないでください。


コマンドの最初の語は、メイン コマンドと見なされます。それ以降の語はすべて引数と見なされ、その前に permit または deny を付ける必要があります。

たとえば、 show running-configuration aaa-server コマンドを許可する場合は、 show running-configuration をコマンド ボックスに追加し、 permit aaa-server を引数ボックスに入力します。

[Permit Unmatched Args] チェックボックスをオンにすると、明示的に拒否されたものを除き、コマンドのすべての引数を許可できます。

たとえば、 show コマンドだけを設定して、すべての show コマンドを許可できます。省略形や、CLI の使用方法を表示する ? など、コマンドのバリアントすべてを想定する必要がないため、この方法を使用することをお勧めします(図 18-1 を参照)。

図 18-1 関連するすべてのコマンドの許可

 

1 語のコマンドに対しては、引数がない場合も含め、一致しない引数( enable help など)を許可する 必要があります図 18-2 を参照)。

図 18-2 1 語のコマンドの許可

 

許可しない引数がある場合は、 deny の後にその引数を入力します。

たとえば、 enable は許可するが、 enable password は許可しない場合、コマンド ボックスに enable を入力し、引数ボックスに deny password と入力します。このとき、必ず [Permit Unmatched Args] チェックボックスをオンにし、 enable 単体は許可されるようにします(図 18-3 を参照)。

図 18-3 引数の不許可

 

コマンドラインでコマンドの省略形を使用する場合、セキュリティ アプライアンスではプレフィクスとメイン コマンドがフル テキストで展開されますが、追加の引数は入力されたとおりに TACACS+ サーバに送信されます。

たとえば、 sh log と入力すると、セキュリティ アプライアンスではコマンド全体( show logging )が TACACS+ サーバに送信されます。ただし、 sh log mess と入力した場合、セキュリティ アプライアンスでは TACACS+ サーバに show logging mess が送信されますが、コマンドが show logging message に展開されることはありません。省略形を想定し、同じ引数のスペルを複数設定できます(図 18-4 を参照)。

図 18-4 省略形の指定

 

次の基本コマンドは、すべてのユーザに対して許可することをお勧めします。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

TACACS+ コマンド認可のイネーブル化

TACACS+ コマンド認可をイネーブルにする場合は、あらかじめ TACACS+ サーバに定義されているユーザとしてセキュリティ アプライアンスにログインしていること、およびセキュリティ アプライアンスの設定を続行するために必要なコマンド認可を受けていることが必要です。たとえば、すべてのコマンドが認可された admin ユーザとしてログインすることをお勧めします。それ以外のユーザとしてログインすると、予期せずロックアウトされる場合があります。

TACACS+ コマンド認可を設定するには、次の手順を実行します。


ステップ 1 TACACS+ サーバを使用したコマンド認可を実行する場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] に移動し、 [Enable authorization for command access] > [Enable] チェックボックスをオンにします。

ステップ 2 [Server Group] ドロップダウン リストから、AAA サーバ グループ名を選択します。

ステップ 3 (オプション)AAA サーバが使用不可になった場合のフォールバック方式としてローカル データベースが使用されるようにセキュリティ アプライアンスを設定できます。 [Use LOCAL when server group fails] チェックボックスをオンにします。ローカル データベースでは AAA サーバと同じユーザ名およびパスワードを使用することをお勧めします。これは、セキュリティ アプライアンスのプロンプトにはどちらの方式が使用されているかが明示されないためです。

ステップ 4 [Apply] をクリックします。


 

管理アクセス アカウンティングの設定

管理アクセスのアカウンティングをイネーブルにするには、次の手順を実行します。


ステップ 1 アカウンティングの対象にできるのは、最初にセキュリティ アプライアンスの認証を受けたユーザだけです。そのため、「CLI、ASDM、および enable コマンドの認証の設定」に従って認証を設定します。

ステップ 2 ユーザが enable コマンドを入力した場合にそのユーザのアカウンティングをイネーブルにするには、次の手順を実行します。

a. [Configuration] > [Device Management] > [Users/AAA] >[AAA Access] > [Accounting] に移動し、 [Require accounting to allow accounting of user activity] > [Enable] チェックボックスをオンにします。

b. [Server Group] ドロップダウン リストから、RADIUS サーバ グループまたは TACACS+ サーバ グループの名前を選択します。

ステップ 3 ユーザが Telnet、SSH、またはシリアル コンソールを使用してセキュリティ アプライアンスにアクセスした場合にそのユーザのアカウンティングをイネーブルにするには、次の手順を実行します。

a. [Require accounting for the following types of connections] 領域で、[Serial]、[SSH]、[Telnet] の中から目的のチェックボックスをオンにします(複数可)。

b. 接続タイプごとに、[Server Group] ドロップダウン リストから RADIUS サーバ グループまたは TACACS+ サーバ グループの名前を選択します。

ステップ 4 コマンド アカウンティングを設定するには、次の手順を実行します。

a. [Require command accounting] 領域で、 [Enable] チェックボックスをオンにします。

b. [Server Group] ドロップダウン リストから、TACACS+ サーバ グループの名前を選択します。RADIUS はサポートされていません。

CLI で show コマンド以外のいずれかのコマンドを入力すると、アカウンティング メッセージを TACACS+ アカウンティング サーバに送信できます。

c. [Command Privilege Setup] ダイアログボックスを使用してコマンド特権レベルをカスタマイズする際(「コマンドへの特権レベルの割り当てと認可のイネーブル化」を参照)、[Privilege level] ドロップダウン リストで最小特権レベルを指定することで、セキュリティ アプライアンスのアカウンティング対象となるコマンドを制限できます。セキュリティ アプライアンスでは、最小の特権レベル未満のコマンドはアカウンティングされません。

ステップ 5 [Apply] をクリックします。


 

ロックアウトからの回復

コマンド認可または CLI 認証を有効にすると、状況によってはセキュリティ アプライアンス CLI からロックアウトされることがあります。通常は、セキュリティ アプライアンスを再起動するとアクセス権を回復できます。ただし、コンフィギュレーションをすでに保存している場合は、なおもロックアウトされることがあります。 表 18-2 は、一般的なロックアウト状況とそこからの回復方法を示したものです。

 

表 18-2 CLI 認証とコマンド認可のロックアウト シナリオ

機能
ロックアウト状況
説明
回避策:シングル モード
回避策:マルチ モード

ローカル CLI 認証

ローカル データベースにユーザが含まれない。

ローカル データベースにユーザが含まれない場合は、ログインできないため、ユーザを追加できません。

ログインしたうえで、パスワードと各 aaa コマンドをリセットします。

スイッチからセキュリティ アプライアンスのセッションを開始します。システム実行スペースから、該当するコンテキストに変更し、ユーザを追加します。

TACACS+
コマンド認可

TACACS+
CLI 認証

RADIUS CLI 認証

サーバが停止または到達不能で、フォールバック方式が設定されていない。

サーバが到達不能な場合は、ログインできないか、またはコマンドを入力できません。

1. ログインしたうえで、パスワードと各 AAA コマンドをリセットします。

2. ローカル データベースをフォールバック方式として設定し、サーバが停止してもロックアウトされないようにします。

1. セキュリティ アプライアンスのネットワーク コンフィギュレーションが正しくないためにサーバが到達不能である場合は、スイッチからセキュリティ アプライアンスのセッションを開始します。システム実行スペースから、該当するコンテキストに変更し、ネットワーク設定値を再設定します。

2. ローカル データベースをフォールバック方式として設定し、サーバが停止してもロックアウトされないようにします。

TACACS+ コマンド認可

十分な特権のないユーザまたは存在しないユーザとしてログインした。

コマンド認可がイネーブルであっても、ユーザはどのコマンドも入力できません。

TACACS+ サーバのユーザ アカウントを修正します。

TACACS+ サーバへのアクセス権がなく、ただちにセキュリティ アプライアンスを設定する必要がある場合は、メンテナンス パーティションにログインし、パスワードと各 aaa コマンドをリセットします。

スイッチからセキュリティ アプライアンスのセッションを開始します。システム実行スペースから、該当するコンテキストに変更し、コンフィギュレーションの変更を完了します。TACACS+ コンフィギュレーションを修正するまでコマンド認可をディセーブルにすることもできます。

ローカル コマンド認可

十分な特権のないユーザとしてログインした。

コマンド認可がイネーブルであっても、ユーザはどのコマンドも入力できません。

ログインしたうえで、パスワードと各 aaa コマンドをリセットします。

スイッチからセキュリティ アプライアンスのセッションを開始します。システム実行スペースから、該当するコンテキストに変更し、ユーザ レベルを変更します。