Cisco Security Manager 4.2 ユーザ ガイド
ファイアウォール デバイスのセキュリティ ポ リシーの設定
ファイアウォール デバイスのセキュリティ ポリシーの設定
発行日;2012/05/10 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール デバイスのセキュリティ ポリシーの設定

[General] ページ

フラッドガード、アンチ スプーフィング、およびフラグメント値の設定

[Add/Edit General Security Configuration] ダイアログボックス

タイムアウトの設定

ファイアウォール デバイスのセキュリティ ポリシーの設定

[Platform] > [Security] の [General] ページおよび [Timeouts] ページを使用して、デバイスの一般的なセキュリティ設定を行うことができます。インターフェイスでアンチ スプーフィングをイネーブルにしたり、IP フラグメント設定を行ったり、デバイスのさまざまなタイムアウト値を設定したりできます。

この章の構成は、次のとおりです。

「[General] ページ」

「タイムアウトの設定」

[General] ページ

[General] ページを使用して、悪意のあるパケット、スプーフィングされたパケット、フラグメント化されたパケット、および DoS 攻撃から保護するためのセキュリティ設定を行います。このページの設定の詳細については、「フラッドガード、アンチ スプーフィング、およびフラグメント値の設定」を参照してください。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Security] > [General] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Security] > [General] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「ファイアウォール デバイスのセキュリティ ポリシーの設定」

「[Add/Edit General Security Configuration] ダイアログボックス」

「タイムアウトの設定」

フィールド リファレンス

 

表 54-1 [General] ページ

要素
説明

Disable Floodguard(PIX 6.3 および FWSM 2.x だけ)

ファイアウォール デバイス上でフラッドガードをディセーブルにするには、このチェックボックスをオンにします。このオプションは、PIX 6.3 および FWSM 2.x デバイスでだけ使用できます。フラッドガード機能の詳細については、「フラッドガード、アンチ スプーフィング、およびフラグメント値の設定」を参照してください。

Global Fragment Settings

次のオプションを使用して、デバイスのグローバル フラグメント値を設定します。個々のインターフェイスに対するこれらの設定をオーバーライドできます。詳細については、「[Add/Edit General Security Configuration] ダイアログボックス」を参照してください。

Enable Default Settings

デフォルトのフラグメント設定フィールドをイネーブルにするには、このチェックボックスをオンにします。

Size

再構成を待機する IP 再構成データベースに格納できる最大フラグメント数を指定します。デフォルトは 200 です。

Chain

完全な IP パケットをフラグメント化する場合の最大フラグメント数を指定します。デフォルトは 24 パケットです。

Timeout

フラグメント化されたパケット全体が到着するのを待機する最大秒数を指定します。タイマーは、パケットの最初のフラグメントが到着したあとに開始します。指定した秒数までに到着しなかったパケット フラグメントがある場合、到着済みのすべてのパケット フラグメントが廃棄されます。デフォルトは 5 秒です。

Interface Configuration Table

このテーブルには、個々のアンチ スプーフィング設定およびフラグメント設定が定義されているすべてのインターフェイスが示されます。これらの設定の詳細については、「フラッドガード、アンチ スプーフィング、およびフラグメント値の設定」を参照してください。個々のインターフェイスにおけるこれらの値の設定の詳細については、「[Add/Edit General Security Configuration] ダイアログボックス」を参照してください。

フラッドガード、アンチ スプーフィング、およびフラグメント値の設定

[Platform] > [Security] の [General] ページを使用して、(PIX 6.3 または FWSM 2.x デバイスの)フラッドガードをイネーブルまたはディセーブルにし、個々のインターフェイスでユニキャスト リバース パス転送(アンチ スプーフィング)をイネーブルにし、デバイスおよびデバイスの各インターフェイスの IP フラグメント値を設定します。

フラッドガード

フラッドガードを使用すると、ユーザ認証サブシステムでリソースが不足した場合にファイアウォール リソースを再要求できます。インバウンドまたはアウトバウンドの uauth 接続が攻撃を受けている場合または過剰に使用されている場合、ファイアウォールは TCP ユーザ リソースをアクティブに再要求します。

ユーザ認証サブシステムのリソースが枯渇すると、緊急性に応じて、次の順序で、さまざまな状態の TCP ユーザ リソースが再要求されます。

1. Timewait

2. LastAck

3. FinWait

4. Embryonic

5. Idle

フラッドガードは、デフォルトでイネーブルになっています。このオプションは、PIX 6.3 または FWSM 2.x デバイスにだけ適用されます。

アンチ スプーフィング

ユニキャスト Reverse Path Forwarding(RPF; リバース パス転送)は、すべてのパケットの送信元 IP アドレスが、ルーティング テーブルに基づく正しい送信元インターフェイスに一致することを確認することによって、IP スプーフィング(本来の送信元を隠すために不正な送信元 IP アドレスを使用するパケット)を防止します。

通常、セキュリティ アプライアンスは、パケットの転送先を決めるときに、宛先アドレスだけを確認します。ユニキャスト RPF は、送信元アドレスも確認することをセキュリティ アプライアンスに指示します。これが、リバース パス転送と呼ばれる理由です。セキュリティ アプライアンスの通過を許可するトラフィックについて、セキュリティ アプライアンスのルーティング テーブルに、送信元アドレスに戻るルートを含める必要があります。詳細については、RFC 2267 を参照してください。

たとえば、外部トラフィックの場合、セキュリティ アプライアンスは、デフォルトのルートを使用してユニキャスト RPF 保護を実現できます。トラフィックが外部インターフェイスから入り、その送信元アドレスをルーティング テーブルが認識できない場合、セキュリティ アプライアンスはデフォルトのルートを使用して、外部インターフェイスを送信元インターフェイスとして正しく識別します。

トラフィックが、ルーティング テーブルにとって既知であるが、内部インターフェイスに関連付けられているアドレスから外部インターフェイスに入る場合、セキュリティ アプライアンスはそのパケットをドロップします。同様に、トラフィックが未知の送信元アドレスから内部インターフェイスに入る場合、一致するルート(デフォルト ルート)は外部インターフェイスを示しているため、セキュリティ アプライアンスはそのパケットをドロップします。

ユニキャスト RPF は、次のように実行されます。

ICMP パケットにはセッションがないため、各パケットがチェックされます。

UDP および TCP にはセッションがあるため、初期パケットにはリバース ルート ルックアップが必要となります。このセッション中に到着する以降のパケットは、セッションの一部として維持されている既存の状態を使用してチェックされます。非初期パケットは、初期パケットが使用したのと同じインターフェイス上に到着したことを確認するためにチェックされます。

フラグメント設定

フラグメント設定によって、パケット フラグメンテーションの管理が提供され、Network File System(NFS; ネットワーク ファイル システム)との互換性が向上します。デフォルトでは、セキュリティ アプライアンスは、IP パケットごとに最大 24 のフラグメント、および再構成を待機する最大 200 のフラグメントを許可します。定期的にパケットをフラグメント化するアプリケーション(NFS over UDP など)がある場合は、ネットワーク上でフラグメントを許可する必要がある場合があります。ただし、トラフィックをフラグメント化するアプリケーションがない場合は、セキュリティ アプライアンス経由でのフラグメントを許可しないことを推奨します。フラグメント化されたパケットは、DoS 攻撃として使用されることがあるためです。

関連項目

「[General] ページ」

「[Add/Edit General Security Configuration] ダイアログボックス」

[Add/Edit General Security Configuration] ダイアログボックス

[Add/Edit General Security Configuration] ダイアログボックスを使用して、アンチ スプーフィングをイネーブルまたはディセーブルにし、フラグメント オーバーライド設定値をインターフェイスに設定します。

ナビゲーション パス

[Add/Edit General Security Configuration] ダイアログボックスには、[Platform] > [Security] >「[General] ページ」の [Anti-Spoofing and Fragment Interface Configuration] テーブルからアクセスできます。

関連項目

「ファイアウォール デバイスのセキュリティ ポリシーの設定」

「フラッドガード、アンチ スプーフィング、およびフラグメント値の設定」

フィールド リファレンス

 

表 54-2 [Add/Edit General Security Configuration] ダイアログボックス

要素
説明

Interface

アンチ スプーフィングまたはフラグメント値を設定するインターフェイスの名前を入力または選択します。

Enable Anti-Spoofing

指定したインターフェイスでユニキャスト RPF(アンチ スプーフィング)をイネーブルにするには、このチェックボックスをオンにします。

Override Default Fragment Settings

指定したインターフェイスのデフォルトのフラグメント設定をオーバーライドするには、このチェックボックスをオンにして次のフィールドをイネーブルにしてから、新しい値を入力します。デバイスのデフォルトのグローバル フラグメント設定値については、「[General] ページ」を参照してください。

Size

指定したインターフェイスに関して、再構成を待機している IP 再構成データベースに格納できる最大フラグメント数を指定します。デフォルトは 200 です。

Chain

指定したインターフェイスに関して、完全な IP パケットをフラグメント化する場合の最大フラグメント数を指定します。デフォルトは 24 パケットです。

Timeout

フラグメント化されたパケット全体が、指定したインターフェイスに到着するのを待機する最大秒数を指定します。タイマーは、パケットの最初のフラグメントが到着したあとに開始します。指定した秒数までに到着しなかったパケット フラグメントがある場合、到着済みのすべてのパケット フラグメントが廃棄されます。デフォルトは 5 秒です。

タイムアウトの設定

[Timeouts] ページを使用すると、セキュリティ アプライアンスでさまざまなタイムアウト値を設定できます。すべての時間が hh:mm:ss の形式になります。

これらの値は、さまざまなプロトコルの接続スロットと変換スロットのアイドル タイムアウトを表します。指定したアイドル時間中にスロットが使用されなかった場合、リソースはフリー プールに戻されます。TCP 接続スロットは、通常の接続クローズ シーケンスの約 60 秒後に解放されます。


警告 これらの値は、カスタマー サポートに指示された場合を除き、変更しないことを推奨します。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [Security] > [Timeouts] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Security] > [Timeouts] を選択します。ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「ファイアウォール デバイスのセキュリティ ポリシーの設定」

フィールド リファレンス

 

表 54-3 [Timeouts] ページ

要素
説明

パラメータのタイムアウト値を変更するには、そのパラメータ エントリの左にあるオプション ボタンをクリックしてアクティブ化してから、そのパラメータ フィールドに新しい値を入力します。値をデフォルトにリセットするには、関連する [Default] ボタンをクリックします。

[Disable] ボタン(提供されている場合)をクリックすると、値が 0:00:00 に設定され、そのタイムアウトがディセーブルになります。前の段落のいずれかの手順を実行して、ディセーブルになっている値を再度イネーブルにします。

Translation Slot (xlate)

変換スロットが解放されるまでのアイドル時間。この値は 1 分以上である必要があります。デフォルトは 3 時間です。このタイムアウトをディセーブルにするには、0:0:0 を入力します。

Connection (conn)

接続スロットが解放されるまでのアイドル時間。この値は 5 分以上である必要があります。デフォルトは 1 時間です。このタイムアウトをディセーブルにするには、[Disable] をクリックするかまたは 0:0:0 を入力します。

Half-Closed

TCP ハーフクローズ接続が閉じられるまでのアイドル時間。最小値は 5 分です。デフォルトは 10 分です。このタイムアウトをディセーブルにするには、[Disable] をクリックするかまたは 0:0:0 を入力します。

UDP

UDP プロトコル接続が閉じられるまでのアイドル時間。この値は 1 分以上である必要があります。デフォルトは 2 分です。このタイムアウトをディセーブルにするには、[Disable] をクリックするかまたは 0:0:0 を入力します。

ICMP(PIX 7.x+、ASA、FWSM 3.x+)

全般的な ICMP 状態が終了するまでのアイドル時間。

RPC/Sun RPC

SunRPC スロットが解放されるまでのアイドル時間。この値は 1 分以上である必要があります。デフォルトは 10 分です。このタイムアウトをディセーブルにするには、[Disable] をクリックするかまたは 0:0:0 を入力します。

H.225

H.225 シグナリング接続が閉じられるまでのアイドル時間。H.225 のデフォルトのタイムアウトは 1 時間(01:00:00)です。この値を 00:00:00 に設定すると、接続が閉じられなくなります。すべてのコールがクリアされた直後に接続を閉じるには、1 秒(00:00:01)を入力します。

H.323

H.323 メディア接続が閉じられるまでのアイドル時間。デフォルトは 5 分です。このタイムアウトをディセーブルにするには、[Disable] をクリックするかまたは 0:0:0 を入力します。

MGCP

MGCP メディア ポートが閉じられるまでのアイドル時間。デフォルトは 5 分(00:05:00)です。このタイムアウトをディセーブルにするには、[Disable] をクリックするかまたは 0:0:0 を入力します。

MGCP PAT(PIX 7.x+、ASA、FWSM 3.x+)

MGCP PAT 変換が削除されるまでのアイドル時間。最小時間は 30 秒です。デフォルトは 5 分(00:05:00)です。このタイムアウトをディセーブルにするには、[Disable] をクリックするかまたは 0:0:0 を入力します。

SIP

SIP シグナリング ポート接続が閉じられるまでのアイドル時間。この値は 5 分以上である必要があります。デフォルトは 30 分です。このタイムアウトをディセーブルにするには、[Disable] をクリックするかまたは 0:0:0 を入力します。

SIP Media

SIP メディア ポート接続が閉じられるまでのアイドル時間。この値は 1 分以上である必要があります。デフォルトは 2 分です。このタイムアウトをディセーブルにするには、[Disable] をクリックするかまたは 0:0:0 を入力します。

SIP Disconnect(PIX 6.3(5)、PIX/ASA 7.2+、FWSM 3.2+)

CANCEL または BYE メッセージに対する 200 OK を受信しなかった場合に、SIP セッションが削除されるまでのアイドル時間。最小値は 0:0:1 です。最大値は 0:10:0 です。デフォルト値は 0:02:00 です。

SIP Invite(PIX 6.3(5)、PIX/ASA 7.2+、FWSM 3.2+)

暫定応答のピンホールおよびメディア xlate が終了するまでのアイドル時間。最小値は 0:1:0 です。最大値は 0:30:0 です。デフォルト値は 0:03:00 です。

SIP Provisional Media(PIX/ASA 7.2(3)+)

SIP プロビジョニング メディア接続のタイムアウト値。値の範囲は 0:1:0 ~ 1193:0:0 である必要があります。デフォルトは 2 分です。

Auth.(uath) Absolute

認証キャッシュがタイムアウトし、新しい接続の再認証が必要となるまでの時間。システムは、ユーザが新しい接続を開始するまで待機してから、再認証を要求します。この時間は、変換スロット値よりも短い必要があります。キャッシングをディセーブルにし、すべての新しい接続に対して再認証を要求するには、[Disable] をクリックするか、または 0:0:0 を入力します。

(注) 接続でパッシブ FTP を使用する場合は、この値を 0:0:0 に設定しないでください。

(注) この値を 0:0:0 に設定すると、HTTPS 認証が動作しない可能性があります。HTTPS 認証後に、ブラウザが複数の TCP 接続を開始して Web ページをロードすると、最初の接続は通過しますが、その後の接続では認証が起動されます。このため、ユーザには、認証の成功後も常に認証ページが表示されます。これを回避するには、認証の絶対タイムアウトを 1 秒に設定します。ただし、この回避策では、同じ送信元 IP アドレスからアクセスした認証されていないユーザがファイアウォールを通過できる期間が 1 秒間発生します。

Auth.(uath) Inactivity

認証キャッシュがタイムアウトし、ユーザによる新しい接続の再認証が必要となるまでのアイドル時間。この期間は、変換スロット値よりも短い必要があります。