Cisco Security Manager 4.1 ユーザ ガイド
ファイアウォール AAA 規則の管理
ファイアウォール AAA 規則の管理
発行日;2012/05/09 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール AAA 規則の管理

AAA 規則について

ユーザの認証方法について

ASA、PIX、および FWSM デバイスの AAA 規則の設定

IOS デバイスの AAA 規則の設定

[AAA Rules] ページ

[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス

[Edit AAA Option] ダイアログボックス

[AuthProxy] ダイアログボックス

[Edit Server Group] ダイアログボックス

AAA ファイアウォール設定ポリシー

[AAA Firewall] 設定ページの [Advanced Setting] タブ

[Interactive Authentication Configuration] ダイアログボックス

[Clear Connection Configuration] ダイアログボックス

[AAA Firewall] ページの [MAC-Exempt List] タブ

[Firewall AAA MAC Exempt Setting] ダイアログボックス

[AuthProxy] ページ

[Firewall AAA IOS Timeout Value Setting] ダイアログボックス

ファイアウォール AAA 規則の管理

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)規則を使用すると、IP アドレスではなくユーザ権限に基づいて、ネットワーク リソースへのアクセスを制御できます。認証規則を設定すると、ユーザは保護されたデバイスの背後にあるネットワークにアクセスしようとするたびに、ユーザ名とパスワードを入力する必要があります。認証後、ネットワーク アクセスがユーザに認可されていることを確認するために、さらにユーザ アカウントのチェックを要求することもできます。最後に、アカウンティング規則を使用して、請求、セキュリティ、またはリソース割り当ての目的でアクセスを追跡できます。

AAA 規則の設定は複雑であり、AAA 規則ポリシー以外の設定も必要となります。ここでは、AAA 規則について詳しく説明し、AAA 規則ポリシーの設定だけでなく関連ポリシーで設定する必要があるものに関する手順を示します。

「AAA 規則について」

「ユーザの認証方法について」

「ASA、PIX、および FWSM デバイスの AAA 規則の設定」

「IOS デバイスの AAA 規則の設定」

「[AAA Rules] ページ」

「AAA ファイアウォール設定ポリシー」

一般的な規則テーブルの使用方法については、次の項を参照してください。

「規則の追加および削除」

「規則の編集」

「規則のイネーブル化とディセーブル化」

「規則の移動と規則順序の重要性」

AAA 規則について

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)規則を使用すると、IP アドレスではなくユーザ権限に基づいて、ネットワーク リソースへのアクセスを制御できます。AAA 規則は、従来のアクセス規則とは異なるタイプの制御を実現します。アクセス規則では、許可する IP アドレスとサービスを制御できますが、AAA 規則では、各ユーザの ACL を設定して、ユーザの接続元 IP アドレスに関係なくユーザごとに認可を定義できます(これらのユーザ単位の ACL は、デバイスに定義される AAA 規則ではなく、AAA サーバで設定します)。

AAA 規則ポリシーは、デバイスに向けられたトラフィックではなく、デバイスを通過するトラフィックに AAA 規則が適用されることが、他のデバイス プラットフォームの AAA ポリシーとは異なります。AAA 規則を使用すると、ネットワークへの着信とネットワークからの発信を制御できます。このことは、セキュリティ レベルの高いネットワーク セグメントでアクセスを慎重に制御する必要がある場合に役立ちます。AAA 規則は、請求、セキュリティ、またはリソース割り当ての目的でユーザ単位のアカウンティング レコードを維持する必要がある場合にも役立ちます。

AAA 規則ポリシーでは、実際には 3 つの異なるタイプの規則を設定します。これらの規則の設定は、IOS デバイスの場合と ASA、PIX、および FWSM デバイスの場合で大きく異なります。IOS デバイスの場合、これらのポリシーではいわゆる認証プロキシ アドミッション コントロールを定義します。共有 AAA 規則を作成する場合は、これらのデバイス タイプに別々の規則を作成します。AAA 規則で設定できる規則タイプは次のとおりです。

認証規則:認証規則では、基本的なユーザ アクセスを制御します。認証規則を設定した場合、ユーザは、規則が定義されているデバイスを接続要求が通過するときにログインする必要があります。HTTP、HTTPS、FTP、または Telnet 接続に対して、ユーザにログインを強制できます。ASA、PIX、および FWSM デバイスの場合、その他のタイプのサービスを制御できますが、ユーザは、まずサポートされているいずれかのプロトコルを使用して認証を受ける必要があり、その後、他のタイプのトラフィックが許可されます。

デバイスがこれらのトラフィック タイプを認識できるのは、デフォルト ポート(FTP(21)、Telnet(23)、HTTP(80)、HTTPS(443))上だけです。これらのタイプのトラフィックを他のポートにマッピングすると、ユーザにプロンプトが表示されず、アクセスは失敗します。

認可規則:認証以外に、追加の制御レベルを定義できます。認証では、ユーザが自身を識別することだけが必要となります。認証に成功すると、認可規則は、AAA サーバにユーザが試行した接続を完了するのに十分な権限を持っているかどうかを問い合わせることができます。認可に失敗した場合、接続はドロップされます。

ASA、PIX、および FWSM デバイスの場合は、AAA 規則ポリシーで直接認可規則を定義します。認証を必要としないトラフィックの認可が必要な場合、認証されていないトラフィックは常にドロップされます。認証に RADIUS サーバを使用する場合、認可は自動的に実行されるため、認可規則は必要ありません。認可規則を設定する場合は、TACACS+ サーバを使用する必要があります。

IOS デバイスの場合、認可を設定するには、[Firewall] > [Settings] > [AuthProxy] ポリシーで認可サーバ グループを設定する必要があります。認可は、認証の対象となる、どのトラフィックに対しても実行されます。TACACS+ または RADIUS サーバを使用できます。

アカウンティング:認証または認可を設定しない場合でも、アカウンティング規則を定義できます。認証を設定すると、ユーザごとにアカウンティング レコードが作成されるため、接続を確立した特定のユーザを識別できます。ユーザ認証が実行されない場合、アカウンティング レコードは IP アドレスに基づきます。アカウンティングに TACACS+ または RADIUS サーバを使用できます。

ASA、PIX、および FWSM デバイスの場合は、AAA 規則ポリシーで直接アカウンティング規則を定義します。TCP または UDP プロトコルに対してアカウンティングを実行できます。

IOS デバイスの場合、アカウンティングを設定するには、[Firewall] > [Settings] > [AuthProxy] ポリシーでアカウンティング サーバ グループを設定する必要があります。アカウンティングは、認証の対象となる、どのトラフィックに対しても実行されます。

ユーザの認証方法について

AAA 規則を作成して、ユーザがデバイスから接続を確立しようとしたときに認証を要求する場合、ユーザはクレデンシャル(ユーザ名とパスワード)を入力するよう要求されます。これらのクレデンシャルは、AAA サーバまたはデバイスに設定されているローカル データベースで定義されている必要があります。

ユーザに要求されるのは、HTTP、HTTPS、FTP、および Telnet 接続の場合だけです(認証を要求するようにこれらのプロトコルが設定されている場合)。また、ASA、PIX、および FWSM デバイスの場合、他のプロトコルの認証を要求することもできます。ただし、その場合、ユーザにはプロンプトが表示されないため、認証を必要とする他のプロトコルの接続を完了するには、まずサポートされている 4 つのプロトコルのいずれかを試して認証に成功する必要があります。


ヒント ASA、PIX、および FWSM デバイスの場合、セキュリティ アプライアンスからの HTTP、HTTPS、Telnet、または FTP を許可せず、他のタイプのトラフィックを認証するには、対話型認証を使用するようにインターフェイスを設定して([Firewall] > [Settings] > [AAA Firewall] ポリシー)、ユーザに HTTP または HTTPS を使用して直接セキュリティ アプライアンスで認証を受けるように要求できます。この場合、ユーザは、次のいずれかの URL を使用して他の接続を試行する前に、アプライアンスで認証されます。interface_ip はインターフェイスの IP アドレス、port([Interactive Authentication] テーブルのプロトコルにデフォルト以外のポートを指定する場合)はポート番号です。http://interface_ip[:port]/netaccess/connstatus.html または https://interface_ip[:port]/netaccess/connstatus.html

デバイスから接続を試行すると、ユーザにはプロトコルに応じてプロンプトが表示されます。

HTTP:ユーザにユーザ名とパスワードを入力するための Web ページが表示されます。このページは、認証に成功するまで繰り返し表示されます。ユーザが正しく認証されると、ユーザは元の宛先にリダイレクトされます。宛先サーバにも独自の認証がある場合、ユーザは別のユーザ名とパスワードを入力します。

ASA、PIX、および FWSM デバイスの場合、セキュリティ アプライアンスは、デフォルトでは基本 HTTP 認証を使用し、認証プロンプトを表示します。対話型認証を使用するようにインターフェイスを設定し、HTTP トラフィックのリダイレクトを指定すると、ユーザ エクスペリエンスを向上できます。これにより、ユーザは認証のためにアプライアンス上でホスティングされている Web ページにリダイレクトされます。対話型認証を使用するようにインターフェイスを設定するには、[Firewall] > [Settings] > [AAA Firewall] ポリシー(「[AAA Firewall] 設定ページの [Advanced Setting] タブ」を参照)で [Interactive Authentication] テーブルにインターフェイスを追加します。インターフェイスを追加するときに、HTTP およびリダイレクトのオプションを選択してください。

基本 HTTP 認証を継続して使用する例としては、セキュリティ アプライアンスでリスニング ポートを開きたくない場合、ルータで NAT を使用しているのでセキュリティ アプライアンスで処理する Web ページの変換規則を作成したくない場合、および基本 HTTP 認証とネットワークとの相性がよい場合があります。たとえば、電子メールに URL が埋め込まれている場合などのように、ブラウザ以外のアプリケーションでは基本認証の方が適していることがあります。

ただし、基本 HTTP 認証を使用する場合、認証を必要とする HTTP サーバにユーザがアクセスしようとすると、アプライアンスでの認証に使用されたものと同じユーザ名とパスワードが HTTP サーバに送信されます。したがって、ASA と HTTP サーバで同じユーザ名とパスワードが使用される場合を除き、HTTP サーバへのログインは失敗します。この問題を回避するには、ASA で virtual http コマンドを使用して、ASA に仮想 HTTP サーバを設定する必要があります。FlexConfig ポリシーを作成してこのことを実行できます。ASA_virtual という定義済みの FlexConfig オブジェクトから例をコピーできます。


ヒント HTTP 認証では、ユーザ名とパスワードがクリア テキストで送信されます。これを防ぐには、[Firewall] > [Settings] > [AAA Firewall] ポリシーで [Use Secure HTTP Authentication] オプションを選択します。このオプションを選択すると、クレデンシャルが暗号化されます。

HTTPS:HTTPS の場合、ユーザ エクスペリエンスは HTTP の場合と同じです。つまり、認証に成功するまでユーザにプロンプトが表示され、ユーザは認証されると元の宛先にリダイレクトされます。

ASA、PIX、および FWSM デバイスの場合、セキュリティ アプライアンスは、カスタム ログイン画面を使用します。HTTP と同様に、対話型認証を使用するようにインターフェイスを設定できます。その場合、HTTPS 接続は HTTP 接続と同じ認証ページを使用します。HTTPS リダイレクト用に個別にインターフェイスを設定する必要があります。設定には [Firewall] > [Settings] > [AAA Firewall] ポリシーを使用します。

IOS デバイスの場合、HTTPS 接続が認証されるのは、デバイス上で SSL をイネーブルにし、AAA 規則で HTTP 認証プロキシが必要とされている場合だけです。この設定については、「IOS デバイスの AAA 規則の設定」を参照してください。

FTP:デバイスは、一度だけ認証を要求します。認証に失敗すると、ユーザは接続を再試行する必要があります。

プロンプトが表示されたら、ユーザはデバイス認証に必要なユーザ名、そのあとに続けてアット マーク(@)、FTP ユーザ名を入力できます(name1@name2)。パスワードについては、デバイス認証パスワード、そのあとに続けてアット マーク(@)、FTP パスワードを入力します(password1@password2)。たとえば、次のテキストを入力します。

name> asa1@partreq
password> letmein@he110

IOS デバイスの場合は、この方法でデバイスと FTP の両方のクレデンシャルを入力する必要があります。ASA、PIX、および FWSM デバイスの場合は、ファイアウォールが複数のログインを必要とするカスケード形式になっている場合に、この方法が役立ちます。複数の名前とパスワードを区切るには、複数のアット マーク(@)を使用します。

Telnet:デバイスは、複数回認証を要求します。認証に数回失敗すると、ユーザは接続を再試行する必要があります。認証後、Telnet サーバはユーザ名とパスワードを要求します。

ASA、PIX、および FWSM デバイスの AAA 規則の設定

ASA、PIX、または FWSM デバイスの AAA 規則を設定する場合は、デバイスからの HTTP、HTTPS、FTP、および Telnet 接続(デバイスへの接続ではない)の確立をどのユーザに許可するかを定義するポリシーを設定します。ネットワーク アクセス認証を完全に設定するには、AAA 規則ポリシーだけでなく、いくつかのポリシーを設定する必要があります。

次の手順では、ネットワーク アクセス認証に対応した完全な認証、認可、およびアカウンティングのサポートを提供するために設定する必要があるすべてのポリシーについて説明します。不要な機能のオプションを設定する必要はありません。

関連項目

「AAA 規則について」

「ユーザの認証方法について」

「新しい共有ポリシーの作成」

「ポリシー ビューにおけるポリシー割り当ての変更」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「インターフェイス ロール オブジェクトについて」


ステップ 1 次のいずれかを実行して、「[AAA Rules] ページ」を開きます。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [AAA Rules] の順に選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [AAA Rules] の順に選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 規則を作成する行を選択して [Add Row] ボタンをクリックするか、または行を右クリックして [Add Row] を選択します。この操作により、「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」が開きます。


ヒント 行を選択しなかった場合、新しい規則はローカル範囲の最後に追加されます。既存の行を選択して、行全体または特定のセルを編集することもできます。詳細については、「規則の編集」を参照してください。


ステップ 3 規則を設定します。次に、一般的に判断が必要となる重要な点を示します。フィールドを設定する方法の詳細については、「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」を参照してください。

認証、認可、またはアカウンティング アクション:この規則で適用するオプションを選択します。認証を選択した場合、ユーザは HTTP、HTTPS、FTP、または Telnet アクセスを試行するときにユーザ名とパスワードの入力を要求されます。認可は追加レベルであり、ユーザ認証後に AAA サーバをチェックして、ユーザにそのタイプのアクセスが認可されていることを確認します。アカウンティングは、AAA サーバに使用状況レコードを生成し、請求、セキュリティ、またはリソース割り当ての目的で使用できます。TCP または UDP トラフィックのアカウンティング情報を生成できます。

許可または拒否:識別されたトラフィックを AAA で制御するか(許可)、または AAA 制御から除外するか(拒否)どうか。拒否されたトラフィックは認証を要求されないので認証なしで通過できますが、アクセス規則によってトラフィックがドロップされる場合があります。

送信元アドレスおよび宛先アドレス:トラフィックを生成したアドレスまたはトラフィックの宛先にかかわらず、規則を適用する場合は、送信元または宛先に「any」を使用します。規則がホストまたはネットワークに固有の場合は、アドレスまたはネットワーク/ホスト オブジェクトを入力します。受け入れられるアドレス形式の詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

サービス:認証規則と認可規則のサービス タイプを指定できます。ただし、ユーザ認証が要求されるのは、HTTP、HTTPS、FTP、および Telnet 接続の場合だけです。したがって、これらのサービス以外のサービスを指定した場合、ユーザは、まずこれらの接続のいずれかを試して認証(および認可アクションを含めた場合は認可)に成功する必要があります。その後、他のタイプの接続が許可されます。アカウンティング規則については、すべてのトラフィック タイプのアカウンティングを実行する場合、TCP または UDP サービス(あるいは単純に TCP と UDP 自体)を指定できます。

AAA サーバ グループ:認証、認可、またはアカウンティングに使用する AAA サーバ グループ ポリシー オブジェクト。規則でこれらのアクションを複数適用する場合は、選択したすべてのアクションがサーバ グループでサポートされている必要があります。たとえば、TACACS+ サーバだけが認可規則のサービスを提供でき(ただし、認証規則に RADIUS を使用すると、自動的に RADIUS 認可が含まれます)、TACACS+ および RADIUS サーバだけがアカウンティング サービスを提供できます。アクションごとに異なるサーバ グループを使用する場合は、異なるグループを必要とするアクション タイプごとに別の規則を定義します。

インターフェイス:規則を設定するインターフェイスまたはインターフェイス ロール。

規則の定義が完了したら、[OK] をクリックします。

ステップ 4 適切な行を選択しないで規則を追加した場合は、追加された規則を選択し、上下の矢印ボタンを使用して適切な位置に規則を移動します。詳細については、「規則の移動と規則順序の重要性」を参照してください。

ステップ 5 (デバイス ビューまたはポリシー ビューで)[Firewall] > [Settings] > [AAA Firewall] を選択して「[AAA Firewall] 設定ページの [Advanced Setting] タブ」を開きます。AAA ファイアウォールを設定します。

HTTP 認証の規則を設定した場合は、[Use Secure HTTP Authentication] を選択する必要があります。これにより、HTTP 認証で入力したユーザ名とパスワードが暗号化されます。このオプションを選択しない場合は、クレデンシャルがクリア テキストで送信されるため、安全性が損なわれます。


ヒント このオプションを選択する場合は、ユーザ認証のタイムアウトに 0 を設定([Platform] > [Security] > [Timeouts] ポリシーで timeout uauth 0 を設定)していないことを確認してください。このようにしないと、ユーザが繰り返し認証を要求され、ネットワークに問題が発生する場合があります。


インターフェイス上の HTTP または HTTPS トラフィックの認証を設定した場合は、インターフェイスを [Interactive Authentication] テーブルに追加することを検討してください。インターフェイスで対話型認証を使用できるようにすると、ユーザには改良された認可 Web ページ(HTTP と HTTPS の両方で同じページ)が表示されます。

[Add Row] をクリックして、インターフェイスをテーブルに追加します。インターフェイスで HTTP または HTTPS トラフィックを受信するか(両方のプロトコルを受信する場合はインターフェイスを 2 回追加します)、およびプロトコルのデフォルト ポート(それぞれ 80 と 443)を使用しない場合は受信するポートを選択します。[Redirect network users for authentication request] を選択して、ネットワーク アクセス トラフィックに対して改良された認証プロンプトが表示されるようにします。このオプションを選択しない場合は、デバイスにログインしようとするユーザにだけプロンプトが表示されます。


) 基本 HTTP 認証を継続して使用する例としては、セキュリティ アプライアンスでリスニング ポートを開きたくない場合、ルータで NAT を使用しているのでセキュリティ アプライアンスで処理する Web ページの変換規則を作成したくない場合、および基本 HTTP 認証とネットワークとの相性がよい場合があります。たとえば、電子メールに URL が埋め込まれている場合などのように、ブラウザ以外のアプリケーションでは基本認証の方が適していることがあります。


FWSM デバイスの場合は、認証を必要とするように設定したプロトコルの認証チャレンジをディセーブルにすることもできます。インターフェイスを [Clear Connections] テーブルに追加して、認証がタイムアウトしたユーザのアクティブな接続をクリアし、ハングしないようにすることもできます。

Media Access Control(MAC; メディア アクセス コントロール)アドレスに基づいて AAA 規則から一部のデバイスを除外する場合は、[MAC Exempt List] タブをクリックして「[AAA Firewall] ページの [MAC-Exempt List] タブ」を開きます。免除リストの名前を入力し、[Add Row] ボタンをクリックします。次に「[Firewall AAA MAC Exempt Setting] ダイアログボックス」に入力し、許可規則を使用して MAC アドレスをテーブルに追加します。この操作は、信頼できるセキュア デバイスに対して実行できます。

エントリの順序は処理に影響を及ぼします。このため、より広範なエントリにも当てはまるエントリは、テーブル内で、広範なエントリよりも前に配置してください。デバイスは、リストを順番に処理し、最初に一致したものがホストに適用されます。MAC 免除リスト内のエントリが処理される方法の詳細については、「[AAA Firewall] ページの [MAC-Exempt List] タブ」を参照してください。

ステップ 6 RADIUS サーバを使用して認証規則を設定し、ユーザ ポリシーにユーザ単位の ACL 設定を含める場合は、インターフェイスに対してユーザ単位のダウンロード可能 ACL をイネーブルにします(RADIUS 認証には自動的に認可チェックが含められます)。ユーザ単位の ACL の設定については、『 Cisco ASA 5500 Series Configuration Guide Using the CLI 』( http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/access_fwaaa.html )の RADIUS 認可の設定に関する情報を参照してください。

a. (デバイス ビューまたはポリシー ビューで)[Firewall] > [Settings] > [Access Control] を選択して「[Access Control Settings] ページ(IPv4 および IPv6)」を開きます。

b. インターフェイス テーブルの下にある [Add Row] ボタンをクリックし、「[Firewall ACL Setting] ダイアログボックス(IPv4 または IPv6)」で少なくとも次のオプションを入力または選択します。

認可を実行するインターフェイスまたはインターフェイス ロールを入力します。

[Per User Downloadable ACLs] を選択します。

c. [OK] をクリックして変更を保存します。


 

IOS デバイスの AAA 規則の設定

IOS デバイスの AAA 規則を設定する場合は、認証プロキシ(AuthProxy)アドミッション コントロール ポリシーを設定します。これらのポリシーでは、デバイスからの HTTP、HTTPS、FTP、および Telnet 接続(デバイスへの接続ではない)の確立をどのユーザに許可するかを定義します。認証プロキシを完全に設定するには、AAA 規則ポリシーだけでなく、いくつかのポリシーを設定する必要があります。

次の手順では、認可プロキシ用の完全な認証、認可、およびアカウンティングのサポートを提供するために設定する必要がある、すべてのポリシーについて説明します。不要な機能のオプションを設定する必要はありません。

関連項目

「AAA 規則について」

「ユーザの認証方法について」

「新しい共有ポリシーの作成」

「ポリシー ビューにおけるポリシー割り当ての変更」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」

「AAA サーバおよびサーバ グループ オブジェクトについて」

「インターフェイス ロール オブジェクトについて」


ステップ 1 次のいずれかを実行して、「[AAA Rules] ページ」を開きます。

(デバイス ビュー)ポリシー セレクタから [Firewall] > [AAA Rules] の順に選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [AAA Rules] の順に選択します。既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 規則を作成する行を選択して [Add Row] ボタンをクリックするか、または行を右クリックして [Add Row] を選択します。この操作により、「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」が開きます。


ヒント 行を選択しなかった場合、新しい規則はローカル範囲の最後に追加されます。既存の行を選択して、行全体または特定のセルを編集することもできます。詳細については、「規則の編集」を参照してください。


ステップ 3 規則を設定します。次に、一般的に判断が必要となる重要な点を示します。フィールドを設定する方法の詳細については、「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」を参照してください。

認証アクション :このオプションを選択します。認証規則は、IOS デバイスの AAA 規則ポリシーで設定できる唯一の規則タイプです。

許可または拒否:識別されたトラフィックを AAA で制御するか(許可)、または AAA 制御から除外するか(拒否)どうか。拒否されたトラフィックは認証を要求されないので認証なしで通過できますが、アクセス規則によってトラフィックがドロップされる場合があります。

送信元アドレスおよび宛先アドレス:トラフィックを生成したアドレスまたはトラフィックの宛先にかかわらず、規則を適用する場合は、送信元または宛先に「any」を使用します。規則がホストまたはネットワークに固有の場合は、アドレスまたはネットワーク/ホスト オブジェクトを入力します。受け入れられるアドレス形式の詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

サービス:認証プロキシによって認証が要求されるのは、HTTP、HTTPS、FTP、および Telnet トラフィックだけです。これらのサービスを指定するか、または単純に IP サービスを使用できます。

インターフェイス:規則を設定するインターフェイスまたはインターフェイス ロール。

認証プロキシをトリガーするサービス:ユーザ認証をトリガーするトラフィックのタイプ(HTTP、FTP、または Telnet)のチェックボックスをオンにします。自由に組み合わせて選択できます。HTTPS サポート用のプロキシをトリガーする場合は、[HTTP] を選択し、あとの手順で説明する HTTPS 設定を実行します。

規則の定義が完了したら、[OK] をクリックします。

ステップ 4 適切な行を選択しないで規則を追加した場合は、追加された規則を選択し、上下の矢印ボタンを使用して適切な位置に規則を移動します。詳細については、「規則の移動と規則順序の重要性」を参照してください。

ステップ 5 (デバイス ビューまたはポリシー ビューで)[Firewall] > [Settings] > [AuthProxy] を選択して「[AuthProxy] ページ」を開きます。認証プロキシを設定します。

認可サーバ グループ :すべての認証規則でユーザ認可も実行する場合は、認可を制御する TACACS+ または RADIUS サーバを識別する AAA サーバ グループ ポリシー オブジェクトのリストを指定します。[LOCAL] を指定して、デバイスに定義されているユーザ データベースを使用することもできます。サーバ グループを指定しない場合は、認可が実行されません。


ヒント AAA サーバでユーザごとに ACL を設定して、各ユーザに適用する権限を定義する必要があります。認可を設定する場合は、サービスとして [auth-proxy] を指定し(service = auth-proxy など)、権限レベルを 15 にします。AAA サーバを設定する方法と一般的な認証プロキシを設定する方法の詳細については、次の URL にある『Cisco IOS Security Configuration Guide: Securing User Services, Release 12.4T』の「Configuring the Authentication Proxy」を参照してください。http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_cfg_authen_prxy_ps6441_TSD_Products_Configuration_Guide_Chapter.html


アカウンティング サーバ グループ :すべての認証規則でアカウンティングを実行する場合は、アカウンティングを実行する TACACS+ または RADIUS サーバを識別する AAA サーバ グループ ポリシー オブジェクトのリストを指定します。サーバ グループを指定しない場合、アカウンティングは実行されません。アカウンティングを実行する場合は、必要に応じて次のオプションも設定します。

複数のサーバ グループを指定する場合は、[Use Broadcast for Accounting] の選択を検討してください。このオプションを選択すると、アカウンティング レコードが各サーバ グループ内のプライマリ サーバに送信されます。

[Accounting Notice] オプションでは、サーバにいつ通知するかを定義します。デフォルトでは、接続の開始時と終了時にサーバに通知されますが、終了通知だけを送信するか、またはまったく通知を送信しないかを選択できます。

各サービスの認証バナーをカスタマイズすることもできます。[Timeout] タブで、デフォルト アイドルと絶対セッション タイムアウトをグローバルに変更したり、インターフェイスごとに変更したりできます。

ステップ 6 [Platform] > [Device Admin] > [AAA](ポリシー ビューでは [Router Platform] フォルダにあります)を選択して「[AAA] ポリシー ページ」を開きます。[Authentication] タブで次のオプションを設定します。

[Enable Device Login Authentication] を選択します。

認証を制御するサーバ グループのリスト(プライオリティ順)を入力します。通常は、AuthProxy ポリシーで使用されているのと同じ TACACS+ または RADIUS サーバ グループの少なくとも一部を使用します。ただし、このポリシーでは、デバイス ログイン制御も定義するため、他のサーバ グループの一部を含めることが必要にある場合があります。詳細については、「[AAA] ページ - [Authentication] タブ」を参照してください。

ステップ 7 HTTP 接続で認証プロキシを使用し、HTTPS 接続でもそのプロキシを使用する場合は、[Platform] > [Device Admin] > [Device Access] > [HTTP](ポリシー ビューでは [Router Platform] フォルダにあります)を選択して「[HTTP] ポリシー ページ」を開きます。次のオプションを設定します。

[Enable HTTP] と [Enable SSL] を選択します(まだ選択されていない場合)。

[AAA] タブで、デバイスへのログインアクセスの設定が適切であることを確認します。AAA を使用してデバイスからのアクセスを制御する場合は、デバイスへのアクセスにその AAA を使用できます。


 

[AAA Rules] ページ

[AAA Rules] ページを使用して、デバイス インターフェイスの AAA 規則を設定します。AAA 規則では、ネットワーク アクセス制御(IOS デバイスの認証プロキシと呼ばれる)を設定します。これにより、ユーザはデバイスを通過するネットワーク接続を試行するときに認証が必要になります。認証されたトラフィックに、認可を受けることを要求することもできます(ユーザが有効なユーザ名とパスワードを入力したあとで、AAA サーバをチェックして、ユーザにネットワーク アクセスが許可されていることを確認します)。認証されていないトラフィックにもアカウンティング規則を設定して、請求、セキュリティ、およびリソース割り当ての目的で使用できる情報を提供することもできます。

AAA 規則の設定は複雑であり、オペレーティング システムによって大きく異なります。AAA 規則を設定する場合には、次の項をよく読んでください。

「AAA 規則について」

「ユーザの認証方法について」

「ASA、PIX、および FWSM デバイスの AAA 規則の設定」

「IOS デバイスの AAA 規則の設定」


ヒント ディセーブルな規則には、テーブルの行にハッシュ マークが重なって表示されます。設定を展開すると、ディセーブルな規則はデバイスから削除されます。詳細については、「規則のイネーブル化とディセーブル化」を参照してください。

ナビゲーション パス

[AAA Rules] ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択してから、ポリシー セレクタで [Firewall] > [AAA Rules] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [AAA Rules] の順に選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Policies] > [AAA Rules] を選択します。

関連項目

「規則の追加および削除」

「規則の編集」

「規則の移動と規則順序の重要性」

「セクションを使用した規則テーブルの編成」

「規則テーブルの使用」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 13-1 [AAA Rules] ページ

要素
説明

[No.]

順序が付けられた規則番号。

[Permit]

定義済みのトラフィックを規則の対象とするか([Permit])、または規則を免除するか([Deny])。

[Permit]:緑色のチェック マークとして表示されます。

[Deny]:スラッシュの入った赤色の丸として表示されます。

[Source]

[Destination]

規則の送信元アドレスおよび宛先アドレス。「any」アドレスを指定すると、規則は特定のホスト、ネットワーク、またはインターフェイスに制限されません。これらのアドレスは、ホストまたはネットワーク、ネットワーク/ホスト オブジェクト、インターフェイス、またはインターフェイス ロールの IP アドレスです。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。次の章を参照してください。

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

「インターフェイス ロール オブジェクトについて」

[Service]

規則が適用されるトラフィックのプロトコルおよびポートを指定するサービスまたはサービス オブジェクト。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

[Interface]

規則が割り当てられるインターフェイスまたはインターフェイス ロール。インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイス名で置き換えられます。複数のエントリがある場合は、テーブル セル内に個別のサブフィールドとして表示されます。「インターフェイス ロール オブジェクトについて」を参照してください。

[Action]

この規則で定義される AAA 制御のタイプ:

[Authenticate]:デバイスから接続を確立するユーザは、ユーザ名とパスワードで認証される必要があります。認証を必要とするプロトコルは、[Service] フィールド(ASA/PIX/FWSM デバイスの場合)または [AuthProxy] 方式(IOS デバイスの場合)で定義します。

[Authorize]:認証済みユーザは、接続の確立が許可されていることを確認するために AAA サーバでもチェックされます(ASA/PIX/FWSM だけ)。

[Account]:識別されたトラフィックのアカウンティング レコードが AAA サーバに送信されます(ASA/PIX/FWSM だけ)。

[AuthProxy]

認証プロキシ方式を使用した認証を必要とするプロトコル。このことは、IOS デバイスにだけ適用されます。

[Server Group]

規則で定義された認証、認可、またはアカウンティングのサポートを提供する AAA サーバ グループ。このグループは、ASA/PIX/FWSM デバイスの場合だけ使用されます。これらの規則で使用する IOS デバイスの AAA サーバの設定については、「IOS デバイスの AAA 規則の設定」を参照してください。

[Category]

規則に割り当てられるカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Description]

規則の説明(ある場合)。

[Tools] ボタン

このボタンをクリックして、このタイプのポリシーとともに使用できるツールを選択します。次のツールから選択できます。

[Combine Rules]:似たような規則を結合して、パフォーマンスおよびメモリ使用率を改善します。このツールにより、ポリシーに含まれる規則の数が少なくなります。「規則の結合」を参照してください。

[Query]:ポリシー クエリーを実行します。このことにより、規則を評価して、効果が得られない削除可能な規則を特定できます。「ポリシー クエリー レポートの生成」を参照してください。

[Find and Replace] ボタン(双眼鏡アイコン)

テーブル内のさまざまなタイプの項目を検索し、必要に応じてその項目を置換するには、このボタンをクリックします。「規則テーブルの項目の検索と置換」を参照してください。

[Up Row] ボタンと [Down Row] ボタン(矢印アイコン)

選択した規則を範囲内またはセクション内で上下に移動するには、これらのボタンをクリックします。詳細については、「規則の移動と規則順序の重要性」を参照してください。

[Add Row] ボタン

「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」を使用して選択したテーブルの行のあとに規則を追加するには、このボタンをクリックします。行を選択しなかった場合は、ローカル範囲の最後に規則が追加されます。規則を追加する方法の詳細については、「規則の追加および削除」を参照してください。

[Edit Row] ボタン

選択した規則を編集するには、このボタンをクリックします。個々のセルを編集することもできます。詳細については、「規則の編集」を参照してください。

[Delete Row] ボタン

選択した規則を削除するには、このボタンをクリックします。

[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス

[Add AAA Rules]/[Edit AAA Rules] ダイアログボックスを使用して、AAA 規則を追加および編集します。AAA 規則の設定は、このダイアログボックスに単に入力するよりも複雑であり、オペレーティング システムによって大きく異なります。AAA 規則を設定する場合には、次の項をよく読んでください。

「AAA 規則について」

「ユーザの認証方法について」

「ASA、PIX、および FWSM デバイスの AAA 規則の設定」

「IOS デバイスの AAA 規則の設定」

ナビゲーション パス

「[AAA Rules] ページ」から、[Add Row] ボタンをクリックするか、または行を選択して [Edit Row] ボタンをクリックします。

関連項目

「規則の追加および削除」

「規則の編集」

フィールド リファレンス

 

表 13-2 [Add AAA Rules]/[Edit AAA Rules] ダイアログボックス

要素
説明

[Enable Rule]

規則をイネーブルにするかどうか。イネーブルにすると、デバイスに設定を展開したときに規則がアクティブになります。ディセーブルな規則には、規則テーブルにハッシュ マークが重なって表示されます。詳細については、「規則のイネーブル化とディセーブル化」を参照してください。

[Authentication Action]

[Authorization Action](PIX/ASA/FWSM)

[Accounting Action](PIX/ASA/FWSM)

認証、認可、およびアカウンティングのチェックボックスでは、デバイスに生成される規則のタイプを定義します。タイプごとに異なるコマンド セットが生成されますが、複数のオプションを選択すると、このダイアログボックスの他の選択肢は、選択したすべてのアクションでサポートされる選択肢に制限されます。

[Authentication]:ユーザはデバイスから接続を確立するためにユーザ名とパスワードを入力する必要があります。ASA、PIX、および FWSM デバイスの場合、[Services] フィールドに入力した情報によって、認証を必要とするプロトコルが決まりますが、プロンプトが表示されるのは、HTTP、HTTPS、FTP、および Telnet 接続の場合だけです。IOS デバイスの場合、いずれのプロトコルが認証を必要とするかは、ダイアログボックスの下部で選択した認可プロキシのチェックボックスに基づきます。

[Authorization]:認証に成功すると、ユーザが要求した接続の確立を許可されているかどうかを確認するために AAA サーバもチェックされます。認証規則に RADIUS サーバを指定した場合は、認可規則を設定しなくても認可が実行されます。TACACS+ サーバを使用している場合は、認可規則を別途作成する必要があります。IOS デバイスの場合、認可は AAA 規則ではなく [Firewall] > [Settings] > [AuthProxy] ポリシーで設定します。

[Accounting]:アカウンティング レコードが [Services] フィールドで指定された TCP および UDP プロトコルの TACACS+ または RADIUS サーバに送信されます。認証も設定する場合、これらのレコードはユーザ単位です。認証を設定しない場合は IP アドレスに基づきます。IOS デバイスの場合、アカウンティングは AAA 規則ではなく [Firewall] > [Settings] > [AuthProxy] ポリシーで設定し、認証プロキシに選択したプロトコルにだけ適用されます。

[Action]([Permit]/[Deny])

定義済みのトラフィックが規則の対象となるか([Permit])、または規則が免除されるか([Deny])。

たとえば、HTTP サービスを使用した宛先への 10.100.10.0/24 ネットワークに認証拒否規則を作成した場合、このネットワーク上のユーザは HTTP 要求時にデバイスでの認証を要求されません。

[Sources]

[Destinations]

トラフィックの送信元または宛先。項目をカンマで区切って複数の値を入力できます。

次のアドレス タイプを自由に組み合わせて入力し、トラフィックの送信元または宛先を定義できます。詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

ネットワーク/ホスト オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します。選択リストから、新しいネットワーク/ホスト オブジェクトを作成することもできます。

ホスト IP アドレス(10.10.10.100 など)。

ネットワーク アドレスとサブネット マスク。形式は 10.10.10.0/24 または 10.10.10.0/255.255.255.0。

IP アドレスの範囲(10.10.10.100-10.10.10.200 など)。

10.10.0.10/255.255.0.255 形式の IP アドレスのパターン。この場合のマスクは不連続なビット マスクです(「連続および不連続ネットワーク マスク(IPv4 アドレスに対応)」を参照)。

インターフェイス ロール オブジェクト。オブジェクトの名前を入力するか、または [Select] をクリックしてリストから名前を選択します(オブジェクト タイプとして [Interface Role] を選択する必要があります)。インターフェイス ロールを使用する場合は、選択したインターフェイスの IP アドレスを指定した場合と同様に規則が動作します。デバイスに割り当てられる IP アドレスを把握できないため、DHCP を経由してアドレスを取得するインターフェイスの場合に有効です。詳細については、「インターフェイス ロール オブジェクトについて」を参照してください。

インターフェイス ロールを送信元として選択した場合、ダイアログボックスにタブが表示され、ホストまたはネットワークとインターフェイス ロールが区別されます。

[Services]

動作対象のトラフィック タイプを定義するサービス。項目をカンマで区切って複数の値を入力できます。

サービス オブジェクトおよびサービス タイプの任意の組み合わせ(通常はプロトコルとポートの組み合わせ)を入力できます。サービスを入力する場合は、有効な値の入力を求められます。リストから値を選択して、Enter または Tab を押します。

サービス タイプは、デバイス タイプに基づいて慎重に選択することが重要です。

IOS デバイスの場合、ダイアログボックスの下部で、認可プロキシのチェックボックスを使用して選択したプロトコルだけが AAA 制御に使用されるため、IP をプロトコルとして使用できます。

ASA、PIX、および FWSM デバイスの場合、どのタイプのトラフィックにも認証を強制できますが、セキュリティ アプライアンスでプロンプトが表示されるのは、HTTP/HTTPS、FTP、および Telnet トラフィックの場合だけです。これらのサービス以外のサービスを指定した場合、ユーザは、これらのサービスのいずれかを試して認証に成功するまではアプライアンスから接続を確立できません。

アカウンティングの規則だけの場合は、レコードを作成する TCP または UDP プロトコルを指定できます。

サービスを指定する方法の詳細については、「サービスとサービス オブジェクトおよびポート リスト オブジェクトの理解と指定」を参照してください。

(注) PIX 6.3 および FWSM デバイスには問題があるため、送信元ポートを使用してサービスを指定した場合、トラフィックは認証されません。そのため、これらのデバイス タイプの規則から CLI が生成される場合、送信元ポートは無視されます。

[AAA Server Group](PIX、ASA、FWSM)

規則で定義されるトラフィックの認証、認可、またはアカウンティングを提供する AAA サーバを定義する AAA サーバ グループ ポリシー オブジェクト。ポリシー オブジェクトの名前を入力するか、または [Select] をクリックして、リストから名前を選択するか新しいオブジェクトを作成します。

規則に定義されているすべてのアクションを実行できるサーバのタイプを選択する必要があります。たとえば、(デバイスに定義されている)ローカル データベースでは、認可サービスを提供できません。認証に RADIUS サーバを使用する場合、認可サービスは自動的に提供されますが、RADIUS サーバを使用する認可規則は定義できません。

同じ送信元/宛先ペアに対する異なるアクションに対して、複数のサーバ グループを混在させて使用できます。このことを行うには、認証、認可、およびアカウンティング アクションを用途に応じて組み合わせ、個別の規則を作成します。AAA サーバ グループ オブジェクトの詳細については、「AAA サーバおよびサーバ グループ オブジェクトについて」を参照してください。

(注) IOS デバイスの AAA サーバ グループは、他のポリシーで定義されます。設定の詳細については、「IOS デバイスの AAA 規則の設定」を参照してください。

[Interface]

ユーザの認証、認可、またはアカウンティングを実行するインターフェイスを識別するインターフェイスまたはインターフェイス ロール。インターフェイスまたはインターフェイス ロールの名前を入力するか、あるいは [Select] をクリックして、リストから名前を選択するか新しいインターフェイス ロール オブジェクトを作成します。

ASA および PIX デバイス上の認証規則の場合、[Firewall] > [Settings] > [AAA Firewall] ポリシーを使用して、このインターフェイスによる HTTP/HTTPS トラフィックの認証方法を変更できます。インターフェイスを HTTP/HTTPS リスニング ポートとして設定すると、認証のユーザ エクスペリエンスを向上できます。詳細については、「ユーザの認証方法について」および「[AAA Firewall] 設定ページの [Advanced Setting] タブ」を参照してください。

[Category]

規則に割り当てられるカテゴリ。カテゴリを使用すると、規則とオブジェクトを分類および識別できます。「カテゴリ オブジェクトの使用」を参照してください。

[Description]

オプションで入力する規則の説明(最大 1024 文字)。

[HTTP Traffic Type Applies to Authentication Proxy](IOS)

[FTP Traffic Type Applies to Authentication Proxy](IOS)

[Telnet Traffic Type Applies to Authentication Proxy](IOS)

IOS デバイスの場合、認証プロキシを使用して認証を強制するプロトコルを選択します。HTTP を選択した場合は、デバイスで SSL をイネーブルにして、HTTPS 認証プロキシを設定することもできます。詳細については、「IOS デバイスの AAA 規則の設定」を参照してください。

[Edit AAA Option] ダイアログボックス

[Edit AAA Option] ダイアログボックスを使用して、規則で認証、認可、またはアカウンティングのうち、いずれのアクションを実行するかを選択します。認可規則とアカウンティング規則は、ASA、PIX、および FWSM デバイスでだけ機能します。これらのオプションの詳細については、次の項の関連する説明を参照してください。

「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」

「AAA 規則について」

ナビゲーション パス

「[AAA Rules] ページ」で)AAA 規則内の [Action] セルを右クリックし、[Edit AAA] を選択します。

[AuthProxy] ダイアログボックス

[AuthProxy] ダイアログボックスを使用して、AAA 規則内の認可プロキシ設定を編集します。IOS デバイスの場合、認証プロキシを使用して認証を強制するプロトコル(HTTP、FTP、または Telnet)を選択します。HTTP を選択した場合は、デバイスで SSL をイネーブルにして、HTTPS 認証プロキシを設定することもできます。詳細については、「IOS デバイスの AAA 規則の設定」を参照してください。

ナビゲーション パス

「[AAA Rules] ページ」で)AAA 規則内の [AuthProxy] セルを右クリックし、[Edit AuthProxy] を選択します。

[Edit Server Group] ダイアログボックス

[Edit Server Group] ダイアログボックスを使用して、AAA 規則で使用する AAA サーバ グループを編集します。AAA サーバ グループは、規則で定義されたトラフィックの認証、認可、またはアカウンティングを提供する AAA サーバを提供します。ポリシー オブジェクトの名前を入力するか、または [Select] をクリックして、リストから名前を選択するか新しいオブジェクトを作成します。AAA サーバ グループ オブジェクトの詳細については、「AAA サーバおよびサーバ グループ オブジェクトについて」を参照してください。

規則に定義されているすべてのアクションを実行できるサーバのタイプを選択する必要があります。たとえば、(デバイスに定義されている)ローカル データベースでは、認可サービスを提供できません。認証に RADIUS サーバを使用する場合、認可サービスは自動的に提供されますが、RADIUS サーバを使用する認可規則は定義できません。「[Add AAA Rule]/[Edit AAA Rule] ダイアログボックス」とは異なり、このダイアログボックスでは選択内容は検証されません。


) この設定は、ASA、PIX、および FWSM デバイスにだけ適用されます。IOS デバイスの AAA サーバ グループは、他のポリシーで定義されます。設定の詳細については、「IOS デバイスの AAA 規則の設定」を参照してください。


ナビゲーション パス

「[AAA Rules] ページ」で)AAA 規則内の [Server Group] セルを右クリックし、[Edit Server Group] を選択します。

AAA ファイアウォール設定ポリシー

AAA ファイアウォール設定ポリシーの設定は、AAA 規則の動作に影響を及ぼします。

ここでは、次の内容について説明します。

「[AAA Firewall] 設定ページの [Advanced Setting] タブ」

「[AAA Firewall] ページの [MAC-Exempt List] タブ」

「[AuthProxy] ページ」

[AAA Firewall] 設定ページの [Advanced Setting] タブ

AAA ファイアウォール設定ポリシーを使用して、AAA 規則ポリシーの動作を改良するためのオプション設定を指定します。ここでは、[Advanced Setting] タブで使用できる設定について説明します。[MAC Exempt List] タブの詳細については、「[AAA Firewall] ページの [MAC-Exempt List] タブ」を参照してください。

ナビゲーション パス

[AAA Firewall] 設定ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)ASA、PIX、または FWSM デバイスを選択し、[Firewall] > [Settings] > [AAA Firewall] を選択します。必要に応じて [Advanced Setting] タブを選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [AAA Firewall] の順に選択します。新しいポリシーを作成するか既存のポリシーを選択し、必要に応じて [Advanced Setting] タブを選択します。

(マップ ビュー)ASA、PIX、または FWSM デバイスを右クリックし、[Edit Firewall Settings] > [AAA Firewall] を選択し、必要に応じて [Advanced Setting] タブを選択します。

関連項目

「AAA 規則について」

「ユーザの認証方法について」

「ASA、PIX、および FWSM デバイスの AAA 規則の設定」

フィールド リファレンス

 

表 13-3 [AAA Firewall] 設定ページの [Advanced Setting] タブ

要素
説明

[Use Secure HTTP Authentication]

セキュリティ アプライアンスを通過する HTTP 要求を行うユーザが、まず SSL(HTTPS)を使用してセキュリティ アプライアンスで認証される必要があるかどうか。ユーザはユーザ名とパスワードの入力を要求されます。

セキュアな HTTP 認証を使用すると、HTTP ベースの Web 要求にセキュリティ アプライアンスの通過を許可する前に、セキュリティ アプライアンスに対するユーザ認証を安全な方法で実行できます。これは HTTP カットスルー プロキシ認証とも呼ばれます。

このオプションを選択する場合は、アクセス規則によって HTTPS トラフィック(ポート 443)がブロックされないこと、および PAT 設定にもポート 443 が含まれていることを確認してください。また、許可される同時認証の最大数は 16 であり、ユーザ認証のタイムアウトに 0 を設定([Platform] > [Security] > [Timeouts] ポリシーで timeout uauth 0 を設定)すると、ユーザが繰り返し認証を要求され、ネットワークに問題が発生する場合があることに注意してください。

ヒント このオプションを選択しない場合、HTTP 認証では、ユーザ名とパスワードがクリア テキストで送信されます。

[Enable Proxy Limit]

[Maximum Concurrent Proxy Limit per User]

プロキシ接続を許可するかどうか。プロキシをイネーブルにする場合は、ユーザごとに許可するプロキシ接続の数に制限を設定する必要があります(1 ~ 128)。デバイスのデフォルトは 16 ですが、数を指定する必要があります。

[Interactive Authentication] テーブル(ASA/PIX 7.2.2+)

このテーブルを使用して、認証対象の HTTP または HTTPS トラフィックを受信するインターフェイスを指定します。AAA 規則がこのテーブルで指定されたインターフェイスにおけるこれらのプロトコルの認証を必要とする場合、ユーザには、アプライアンスで使用されるデフォルトの認証ページではなく、改良された認証 Web ページが表示されます。これらのページは、デバイスへの直接接続の認証にも使用されます。

インターフェイスをテーブルに追加するには、[Add Row] ボタンをクリックし、「[Interactive Authentication Configuration] ダイアログボックス」に入力します。

設定を編集するには、設定を選択して [Edit Row] ボタンをクリックします。

設定を削除するには、設定を選択して [Delete Row] ボタンをクリックします。

[Disable FTP Authentication Challenge]

[Disable HTTP Authentication Challenge]

[Disable HTTPS Authentication Challenge]

[Disable Telnet Authentication Challenge]

(すべてのオプションについて、FWSM 3.x+ のみ)

示されているプロトコルの認証チャレンジをディセーブルにするかどうか。デフォルトでは、AAA 規則が新しいセッションにおけるトラフィックの認証を強制し、トラフィックのプロトコルが FTP、Telnet、HTTP、または HTTPS の場合に、FWSM はユーザにユーザ名とパスワードの入力を要求します。

これらのプロトコルの 1 つ以上に対して認証チャレンジをディセーブルにすることが必要になる場合もあります。特定のプロトコルの認証チャレンジをディセーブルにすると、そのプロトコルを使用しているトラフィックは、以前に認証されたセッションに属している場合にだけ、許可されます。この認証は、認証チャレンジがイネーブルのままになっているプロトコルを使用するトラフィックによって完了できます。たとえば、FTP の認証チャレンジをディセーブルにすると、トラフィックが認証 AAA 規則に含まれている場合に、FWSM では FTP を使用した新しいセッションを拒否します。認証チャレンジがイネーブルになっているプロトコル(HTTP など)を使用してユーザがセッションを確立した場合、FTP トラフィックは許可されます。

[Clear Connections When Uauth Timer Expires table]

(FWSM 3.2+ だけ)

このテーブルを使用して、ユーザ認証がタイムアウトするか、または clear uauth コマンドで認証セッションをクリアしたあとすぐにアクティブな接続を強制的に閉じるインターフェイスと送信元アドレスを指定します(ユーザ認証のタイムアウトは、[Platform] > [Security] > [Timeouts] ポリシーで定義します)。このテーブルにインターフェイスと送信元アドレスのペアがない場合、ユーザ認証セッションが期限切れになっても、アクティブなセッションは終了しません。

インターフェイスと送信元アドレスのペアを追加するには、[Add Row] ボタンをクリックし、「[Clear Connection Configuration] ダイアログボックス」に入力します。

設定を編集するには、設定を選択して [Edit Row] ボタンをクリックします。

設定を削除するには、設定を選択して [Delete Row] ボタンをクリックします。

[Interactive Authentication Configuration] ダイアログボックス

[Interactive Authentication Configuration] ダイアログボックスを使用して、HTTP または HTTPS トラフィックを受信してネットワーク ユーザを認証するようにインターフェイスを設定します。リスニング ポートで使用される認証 Web ページでは、これらのプロトコルに使用されるデフォルトの認証ページと比べてユーザ エクスペリエンスが向上します。認証ページは、デバイスへの直接接続に使用されます。また、リダイレクション オプションを選択し、かつ、AAA 規則ポリシーで HTTP/HTTPS ネットワーク アクセス認証が必要とされている場合、認証ページはスルー トラフィックにも使用されます。詳細については、「ユーザの認証方法について」を参照してください。

ナビゲーション パス

「[AAA Firewall] 設定ページの [Advanced Setting] タブ」に移動し、[Interactive Authentication] テーブルの下にある [Add Row] ボタンをクリックするか、またはテーブル内の項目を選択して [Edit Row] ボタンをクリックします。

関連項目

「AAA 規則について」

「ASA、PIX、および FWSM デバイスの AAA 規則の設定」

フィールド リファレンス

 

表 13-4 [Interactive Authentication Configuration] ダイアログボックス

要素
説明

[Protocol]

受信するプロトコル([HTTP] または [HTTPS])。インターフェイスで両方のプロトコルを受信する場合は、インターフェイスをテーブルに 2 回追加します。

[Interface]

受信者をイネーブルにするインターフェイスまたはインターフェイス ロール。インターフェイスまたはインターフェイス ロールの名前を入力するか、あるいは [Select] をクリックして、リストから名前を選択するか新しいインターフェイス ロールを作成します。

[Port]

デフォルト ポート(80(HTTP)および 443(HTTPS))を使用しない場合に、セキュリティ アプライアンスがこのプロトコルを受信するポート番号。

[Redirect network users for authentication request]

デバイスから要求しているユーザを、セキュリティ アプライアンスが提供する認証 Web ページにリダイレクトするかどうか。このオプションを選択しない場合、インターフェイスに向けられたトラフィックに対してだけ改良された認証 Web ページが表示されます。

[Clear Connection Configuration] ダイアログボックス

[Clear Connection Configuration] ダイアログボックスを使用して、ユーザ認証がタイムアウトするか、または clear uauth コマンドで認証セッションをクリアしたあとすぐにアクティブな接続を閉じる送信元アドレスを指定します。これらのセッションをクリアするインターフェイスを指定する必要があります。これらの設定は、FWSM 3.2+ デバイスだけに使用されます。

ユーザ認証のタイムアウトは、[Platform] > [Security] > [Timeouts] ポリシーで定義します。

ナビゲーション パス

「[AAA Firewall] 設定ページの [Advanced Setting] タブ」に移動し、[Clear Connections When Uauth Timer Expires] テーブルの下にある [Add Row] ボタンをクリックするか、またはテーブル内の項目を選択して [Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 13-5 [Clear Connection Configuration] ダイアログボックス

要素
説明

[Interface]

設定を行うインターフェイスまたはインターフェイス ロール。名前を入力します。または、[Select] をクリックしてインターフェイスまたはインターフェイス ロールを選択するか、新しいロールを作成します。複数のエントリを指定する場合は、カンマで区切ります。

[Source IP Address/Netmask]

ユーザ認証のタイマーが切れるとすぐに接続をクリアするホストまたはネットワーク アドレス。リストには、ホスト IP アドレス、ネットワーク アドレス、アドレス範囲、またはネットワーク/ホスト オブジェクトを含めることができます。複数のアドレスを指定する場合は、カンマで区切ります。アドレスを入力する方法の詳細については、「ポリシー定義中の IP アドレスの指定」を参照してください。

[AAA Firewall] ページの [MAC-Exempt List] タブ

ASA、PIX、および FWSM 3.x+ デバイスの場合、[AAA Firewall] 設定ポリシーの [MAC Exempt List] タブを使用して、認証と認可を免除するホストを指定します。たとえば、セキュリティ アプライアンスが特定のネットワーク上で発信される TCP トラフィックを認証し、特定のサーバからの認証されていない TCP 接続を許可する場合は、そのサーバの MAC アドレスからのトラフィックを許可する規則を作成します。

マスクを使用して、MAC アドレスのグループの規則を作成できます。たとえば、MAC アドレスが 0003.e3 で始まるすべての Cisco IP Phone を免除する場合は、マスク ffff.ff00.0000 を使用して 0003.e300.0000 の許可規則を作成します(マスクの f はアドレス内の対応する数と一致し、0 はすべてと一致します)。

拒否規則が必要になるのは、MAC アドレスのグループを許可し、許可されたグループ内に、認証と認可を使用する必要があるいくつかのアドレスがある場合だけです。拒否規則はトラフィックを禁止しません。ホストに通常の認証と認可を要求するだけです。たとえば、00a0.c95d で始まる MAC アドレスを持つすべてのホストを許可し、00a0.c95d.0282 に認証と認可の使用を強制する場合は、次の規則を順番に入力します。

1. Deny 00a0.c95d.0282 ffff.ffff.ffff

2. Permit 00a0.c95d.0000 ffff.ffff.0000

ポリシーをデバイスに展開すると、 mac-list および aaa mac-exempt コマンドを使用してこれらのエントリが設定されます。


ヒント MAC 免除リストで最初に一致したものが処理されます。このため、エントリの順序が重要となります。MAC アドレスのグループを許可し、その一部を拒否する場合は、許可規則の前に拒否規則を配置する必要があります。ただし、Security Manager では、MAC 免除規則を順序付けることはできません。規則は示されている順に実装されます。テーブルをソートすると、ポリシーが変更されます。エントリが相互に依存していない場合、このことは重要ではありません。依存している場合は、行を正しい順序で入力してください。

ナビゲーション パス

[MAC Exempt List] タブにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)ASA、PIX、または FWSM デバイスを選択し、[Firewall] > [Settings] > [AAA Firewall] を選択します。[MAC-Exempt List] タブを選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [AAA Firewall] の順に選択します。新しいポリシーを作成するか既存のポリシーを選択し、[MAC-Exempt List] タブを選択します。

(マップ ビュー)ASA、PIX、または FWSM デバイスを右クリックし、[Edit Firewall Settings] > [AAA Firewall] を選択します。次に、[MAC-Exempt List] タブを選択します。

関連項目

「ASA、PIX、および FWSM デバイスの AAA 規則の設定」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 13-6 [AAA Firewall] 設定ページの [MAC-Exempt List] タブ

要素
説明

[MAC-Exempt List Name]

MAC 免除リストの名前。

[MAC Exempt List] テーブル

実装する MAC 免除規則。テーブルに MAC アドレスとマスク(16 進数)、およびそれらを許可するか(認証と認可を免除するか)または拒否するか(標準の認証と認可を強制するか)が表示されます。エントリはデバイスはによって順番に処理され、最適な一致ではなく、最初に一致するものが使用されます。

免除規則を追加するには、[Add Row] ボタンをクリックし、「[Firewall AAA MAC Exempt Setting] ダイアログボックス」に入力します。

免除規則を編集するには、その規則を選択し、[Edit Row] ボタンをクリックします。

免除規則を削除するには、その規則を選択し、[Delete Row] ボタンをクリックします。

[Firewall AAA MAC Exempt Setting] ダイアログボックス

[Firewall AAA MAC Exempt Setting] ダイアログボックスを使用して、[MAC Exempt List] テーブルの免除エントリを追加および編集します。セキュリティ アプライアンスは、許可された MAC アドレスに関連付けられているホストの認証と認可をスキップします。

ナビゲーション パス

「[AAA Firewall] ページの [MAC-Exempt List] タブ」に移動し、[MAC Exempt List] テーブルの下にある [Add Row] ボタンをクリックするか、またはテーブル内の項目を選択して [Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 13-7 [Firewall AAA MAC Exempt Setting] ダイアログボックス

要素
説明

[Action]

指定した MAC アドレスを使用するホストに対して実行するアクション:

[Permit]:ホストの認証と認可を免除します。

[Deny]:ホストに認証と認可を強制します。

[MAC Address]

標準的な 12 桁の 16 進形式のホストの MAC アドレス(00a0.cp5d.0282 など)。完全な MAC アドレスまたはアドレスの一部を入力できます。

アドレスの一部を入力する場合、照合しない桁には 0 を入力できます。

[MAC Mask]

MAC アドレスに適用するマスク。f は数と正確に一致し、0 はその位置の任意の数と一致します。

アドレスの完全一致を指定するには、ffff.ffff.ffff を入力します。

アドレス パターンを照合するには、任意の文字を照合する桁に 0 を入力します。たとえば、ffff.ffff.0000 は、最初の 8 桁が同じであるすべてのアドレスと一致します。

[AuthProxy] ページ

[AuthProxy] ファイアウォール設定プロキシを使用して、認証プロキシに使用するサーバやバナーを指定したり、デフォルト以外のタイムアウト値を設定したりします。IOS デバイスの認証プロキシは、ユーザが IOS デバイスから HTTP、Telnet、または FTP 接続を確立しようとするときにユーザにログインと認証を強制するサービスです。ここでの設定は、AAA 規則と組み合わせて機能します。AuthProxy 設定は、AAA 規則でこれらのサービスのいずれかにユーザ認証が必要とされている場合にだけ適用されます。

このポリシーの設定が [Firewall] > [AAA Rules] ポリシーと矛盾していないことを確認してください。さらに、[Platform] > [Device Admin] > [AAA] ポリシーを使用して、ユーザ アクセスの認証に使用する AAA サーバ グループを定義する必要があります。このポリシーでは、認可およびアカウンティングのサーバ グループだけを定義します。HTTPS アクセスにも認可プロキシを使用する場合は、AAA 規則ポリシーで HTTP 認可プロキシをイネーブルにするだけでなく、[Platform] > [Device Admin] > [Device Access] > [HTTP] ポリシーで SSL をイネーブルにし、AAA を設定する必要があります。


ヒント AAA サーバでユーザごとに ACL を設定して、各ユーザに適用する権限を定義する必要があります。認可を設定する場合は、サービスとして [auth-proxy] を指定し(service = auth-proxy など)、権限レベルを 15 にします。AAA サーバを設定する方法と一般的な認証プロキシを設定する方法の詳細については、次の URL にある『Cisco IOS Security Configuration Guide: Securing User Services, Release 12.4T』の「Configuring the Authentication Proxy」を参照してください。http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_cfg_authen_prxy_ps6441_TSD_Products_Configuration_Guide_Chapter.html

ナビゲーション パス

[AuthProxy] ページにアクセスするには、次のいずれかを実行します。

(デバイス ビュー)デバイスを選択してから、ポリシー セレクタで [Firewall] > [Settings] > [AuthProxy] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Firewall] > [Settings] > [AuthProxy] を選択します。新しいポリシーを作成するか、または既存のポリシーを選択します。

(マップ ビュー)デバイスを右クリックし、[Edit Firewall Settings] > [AuthProxy] を選択します。

関連項目

「AAA 規則について」

「ユーザの認証方法について」

「IOS デバイスの AAA 規則の設定」

フィールド リファレンス

 

表 13-8 AuthProxy ファイアウォール設定ポリシーの [General] タブ

要素
説明
[General] タブ

[Authorization Server Groups]

ユーザ単位の認可制御を提供する、TACACS+ または RADIUS サーバを識別する AAA サーバ グループ ポリシー オブジェクト。デバイスに定義されている LOCAL ユーザ データベースを使用することもできます。

サーバ グループ オブジェクトの名前を入力するか、または [Select] をクリックして、リストから名前を選択するか新しいオブジェクトを作成します。グループをプライオリティ順に配置してください。認可は、最初のグループを使用して試行され、そのグループが使用できない場合は、その次のグループが使用されます。

[Accounting Server Groups]

[Use Broadcast for Accounting]

アカウンティング サービスを提供する、TACACS+ または RADIUS サーバを識別する AAA サーバ グループ ポリシー オブジェクト。アカウンティングでは、請求、セキュリティ、またはリソース割り当ての目的でユーザ単位の使用情報を収集します。サーバ グループ オブジェクトの名前を入力するか、または [Select] をクリックして、リストから名前を選択するか新しいオブジェクトを作成します。

グループをプライオリティ順に配置してください。ブロードキャスト オプションを選択しない場合、アカウンティングは、最初のグループを使用して試行され、そのグループが使用できない場合は、その次のグループが使用されます。

[Use Broadcast for Accounting] を選択した場合、アカウンティング レコードが各グループ内の最初のサーバに同時に送信されます。最初のサーバが使用できない場合はフェールオーバーが発生し、そのグループ内に定義されているバックアップ サーバが使用されます。

[Accounting Notice]

アカウンティング サーバ グループに送信されるアカウンティング通知のタイプ。

[Start-stop]:ユーザ プロセスの開始時に開始アカウンティング通知を送信し、プロセスの終了時に終了アカウンティング通知を送信します。開始アカウンティング レコードは、バックグラウンドで送信されます。要求されたユーザ プロセスは、開始アカウンティング通知をアカウンティング サーバから受信したかどうかにかかわらず開始されます。

[Stop-only]:要求されたユーザ プロセスの終了時に終了アカウンティング通知を送信します。

[None]:アカウンティング レコードは送信されません。

[HTTP Banner]

[FTP Banner]

[Telnet Banner]

ユーザが指定サービスの認証を要求されたときに、認証プロキシ ページに表示されるバナー。

[Disable Banner Text]:バナーは表示されません。

[Use Default Banner Text]:デフォルトのバナー「Cisco Systems, router hostname Authentication」が表示されます。

[Use Custom Banner Text]:ユーザに表示されるテキストを入力します。

[Use HTTP banner from File]

[URL]

HTTP 接続の認証に独自の Web ページを使用するかどうか。独自の HTTP バナーの URL を入力します。

HTTP バナー テキストと URL の両方を設定した場合は、URL バナーが優先されます。ただし、バナー テキストはデバイスにも設定されます。

[Timeout] タブ

[Global Inactivity Time]

セッションにユーザ アクティビティがない場合に、ユーザの認証プロキシが保持される時間の長さ(分単位)。このタイマーが期限切れになると、動的なユーザ Access Control List(ACL; アクセス コントロール リスト)に従ってユーザ セッションがクリアされるので、ユーザは再度認証を受ける必要があります。有効な範囲は 1 ~ 2,147,483,647 です。デフォルトは 60 分です。

このタイムアウト値が [Firewall] > [Settings] > [Inspection] ポリシーで設定されたアイドル タイムアウト値以上であることを確認してください。アイドル タイムアウト値未満の場合は、タイムアウトしたユーザ セッションのモニタが続行され、最終的にハングする可能性があります。

[Global Absolute Time]

認証プロキシ ユーザ セッションがアクティブなままでいることのできる時間の長さ(分単位)。このタイマーが期限切れになったあとは、新しいリクエストの場合と同様、ユーザ セッションで接続確立のプロセス全体を実行する必要があります。有効な範囲は 0 ~ 35,791 です。デフォルトは 0 で、グローバルな絶対タイムアウトは設定されません。ユーザ セッションはアクティブであるかぎり保持されます。

[Interface Timeout] テーブル

このテーブルには、グローバル タイムアウト値とは異なるタイムアウト値を設定するインターフェイスが含まれます。すべてのインターフェイスにグローバル値を使用する場合は、このテーブルに何も設定する必要はありません。

カスタマイズされたタイムアウト値を持つインターフェイスを追加するには、[Add Row] ボタンをクリックし、「[Firewall AAA IOS Timeout Value Setting] ダイアログボックス」に入力します。

設定を編集するには、設定を選択して [Edit Row] ボタンをクリックします。

設定を削除するには、設定を選択して [Delete Row] ボタンをクリックします。

[Firewall AAA IOS Timeout Value Setting] ダイアログボックス

[Firewall AAA IOS Timeout Value Setting] ダイアログボックスを使用して、特定のインターフェイスのアイドル タイムアウト値と絶対タイムアウト値を設定します。これらの値は、[Firewall] > [Settings] > [AuthProxy] ポリシーの [Timeout] タブで設定されたグローバル タイムアウト値を上書きします。

ナビゲーション パス

「[AuthProxy] ページ」の [Timeout] タブで、インターフェイスのテーブルの下にある [Add Row] ボタンをクリックするか、または行を選択して [Edit Row] ボタンをクリックします。

フィールド リファレンス

 

表 13-9 [Firewall AAA IOS Timeout Value Setting] ダイアログボックス

要素
説明

[Interfaces]

タイムアウト値を設定するインターフェイスまたはインターフェイス ロール。インターフェイスまたはロールの名前を入力します。または、[Select] をクリックしてリストから名前を選択するか、新しいインターフェイス ロールを作成します。複数のエントリを指定する場合は、カンマで区切ります。

[Inactivity/Cache Time]

インターフェイス上のセッションにユーザ アクティビティがない場合に、ユーザの認証プロキシが保持される時間の長さ(分単位)。このタイマーが期限切れになると、動的なユーザ Access Control List(ACL; アクセス コントロール リスト)に従ってユーザ セッションがクリアされるので、ユーザは再度認証を受ける必要があります。有効な範囲は 1 ~ 2,147,483,647 です。デフォルトは、グローバル非アクティブ タイムアウト値(デフォルトは 60 分)です。

[Absolute Time]

認証プロキシ ユーザ セッションをインターフェイスでアクティブなまま維持できる時間の長さ(分単位)。このタイマーが期限切れになったあとは、新しいリクエストの場合と同様、ユーザ セッションで接続確立のプロセス全体を実行する必要があります。有効な範囲は 1 ~ 35,791 です。デフォルトは 0 で、絶対タイムアウトは設定されません。ユーザ セッションはアクティブであるかぎり保持されます。

[Authentication Proxy Method](IOS)

これらのタイムアウト値を適用するプロトコル。HTTP、FTP、または Telnet を自由に組み合わせて選択できます。