Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 6.x
概要
概要

概要

Cisco NX-OS ソフトウェアがサポートするセキュリティ機能を利用すると、ネットワークをパフォーマンスの劣化や障害から保護するだけでなく、故意に行われる攻撃や、善意のネットワーク ユーザの意図しない危険な間違いにより生ずるデータの紛失または毀損に対しても保護できます。

この章は、次の項で構成されています。

認証、許可、アカウンティング

Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)は、3 つの独立したセキュリティ機能をまとめて一貫性のあるモジュラ形式で設定するためのアーキテクチャ フレームワークです。

認証
ログイン/パスワード ダイアログ、チャレンジ/レスポンス、メッセージング サポート、および暗号化(選択したセキュリティ プロトコルに基づく)などによるユーザの識別方法を提供します。 認証は、ユーザに対してネットワークとネットワーク サービスへのアクセスを許可する前に、ユーザの識別を行う方法です。 AAA 認証を設定するには、まず認証方式の名前付きリストを定義し、そのリストを各種インターフェイスに適用します。
許可
ワンタイム許可またはサービスごとの許可、ユーザ単位のアカウント リストとプロファイル、ユーザ グループ サポート、および IP、IPX、ARA、Telnet のサポートなど、リモート アクセスの制御方法を提供します。

RADIUS や TACACS+ などのリモート セキュリティ サーバでは、権限が定義された属性値(AV)のペアを、対象のユーザに関連付けることで、ユーザに対して特定の権限を許可します。 AAA 許可は、ユーザに許可されている操作を示す一連の属性を組み合わせて実行します。 これらの属性とデータベースに格納されているユーザの情報とが比較され、その結果が AAA に返されてユーザの実際の権限と制約事項が決定されます。

アカウンティング
ユーザ ID、開始時刻と終了時刻、実行コマンド(PPP など)、パケット数、バイト数といった、課金、監査、およびレポートに使用するセキュリティ サーバ情報の収集と送信を行う手段を提供します。 アカウンティングを使用することで、ユーザがアクセスしているサービスや、ユーザが消費しているネットワーク リソース量を追跡できます。

(注)  


認証は AAA と別個に設定することができます。 ただし RADIUS または TACACS+ を使用する場合や、バックアップの認証方式を設定する場合は、AAA を設定する必要があります。


関連情報

RADIUS および TACACS+ セキュリティ プロトコル

AAA は、セキュリティ機能の管理にセキュリティ プロトコルを使用します。 ルータまたはアクセス サーバがネットワーク アクセス サーバとして動作している場合は、ネットワーク アクセス サーバと RADIUS または TACACS+ セキュリティ サーバとの間の通信を確立する手段に、AAA が使用されます。

このマニュアルでは、次のセキュリティ サーバ プロトコルを設定する手順を説明します。

RADIUS
不正アクセスからネットワークを保護する分散型クライアント/サーバ システムです。RADIUS は AAA を使用して実装されます。 シスコの実装では RADIUS クライアントは Cisco ルータ上で稼働します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。
TACACS+
ルータまたはネットワーク アクセス サーバにアクセスしようとするユーザの検証を集中的に行うセキュリティ アプリケーションです。TACACS+ は AAA を使用して実装されます。 TACACS+ サービスは、通常 UNIX または Windows NT ワークステーション上で動作する TACACS+ デーモンのデータベースで管理されます。 TACACS+ では、個別の、およびモジュールでの認証、許可、およびアカウンティング機能が提供されます。

LDAP

Lightweight Directory Access Protocol(LDAP)は、Cisco NX-OS デバイスにアクセスしようとするユーザの検証を集中的に行います。 LDAP では、1 台のアクセス コントロール サーバ(LDAP デーモン)で認証と認可を個別に提供できます。

関連情報

SSH および Telnet

セキュア シェル(SSH)サーバを使用すると、SSH クライアントは Cisco NX-OS デバイスとの間でセキュアな暗号化された接続を確立できます。 SSH は強化暗号化を使用して認証を行います。 Cisco NX-OS ソフトウェアの SSH サーバは、市販の一般的な SSH クライアントと相互運用ができます。

Cisco NX-OS ソフトウェアの SSH クライアントは、市販の一般的な SSH クライアントと相互運用ができます。

Telnet プロトコルは、ホストとの TCP/IP 接続を確立します。 Telnet を使用すると、あるサイトのユーザが別のサイトのログイン サーバと TCP 接続を確立し、キーストロークをデバイス間でやり取りできます。 Telnet は、リモート デバイス アドレスとして IP アドレスまたはドメイン名のいずれかを受け入れます。

PKI

公開キー インフラストラクチャ(PKI)を使用すると、ネットワーク上で通信を安全に行うためのデジタル証明書をデバイスが入手して使用できるようになり、デジタル証明書に対応した SSH などのアプリケーションの管理性と拡張性も向上します。

関連情報

ユーザ アカウントおよびユーザ ロール

ユーザ アカウントの作成および管理を行い、Cisco NX-OS デバイス上で実行できる操作を制限するロールを割り当てることができます。 Role-Based Access Control(RBAC; ロールベース アクセス コントロール)を使用すると、割り当てたロールにルールを定義して、ユーザが行える管理操作の権限を制限できます。

802.1X

802.1X では、クライアント サーバ ベースのアクセス コントロールと認証プロトコルを定義し、許可されていないクライアントが公にアクセス可能なポートを経由して LAN に接続するのを規制します。 認証サーバは、Cisco NX-OS デバイスのポートに接続されるクライアントを個々に認証します。

802.1x アクセス コントロールでは、クライアントが認証されるまで、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)トラフィックしか許可されません。 認証に成功すると、通常のトラフィックはポートを通過できるようになります。

関連情報

NAC

Network Admission Control(NAC)を使用すると、エンドポイント装置にネットワーク アクセスを許可する前に、エンドポイント装置のセキュリティ適合性と脆弱性をチェックできます。 このセキュリティ適合性のチェックのことを、ポスチャ検証といいます。 ポスチャ検証により、ワーム、ウイルス、およびその他の不正アプリケーションがネットワーク全体に拡散することを防止できます。

NAC は、エンドポイント装置がネットワークの保護された領域にアクセス可能になる前に、エンドポイント装置のポスチャ(状態)がセキュリティ ポリシーに適合しているかどうかを検証します。 セキュリティ ポリシーに適合する場合は、ネットワークの保護されたサービスにアクセスすることが許可されます。 セキュリティ ポリシーに適合しない場合は、修復専用のネットワークにアクセスが制限されます。修復ネットワークではデバイスのポスチャが再度チェックされます。

関連情報

Cisco TrustSec

Cisco TrusSec のセキュリティ アーキテクチャは、信頼できるネットワーク デバイスのクラウドを確立することによってセキュア ネットワークを構築します。 クラウド内の各デバイスは、そのネイバーによって認証されます。 クラウド内のデバイス間のリンクを使用する通信は、暗号化、メッセージ整合性チェック、およびリプレイ保護メカニズムを組み合わせることで保護されます。 また Cisco TrustSec は、認証時に取得されたデバイスおよびユーザの識別情報を、ネットワークに入る際のパケットの分類またはカラリングに使用します。 このパケット分類は、Cisco TrustSec ネットワークへの入力時にパケットにタグ付けされることにより維持されます。タグによってパケットはデータ パス全体を通じて正しく識別され、セキュリティおよびその他のポリシー基準が適用されます。 このタグは、セキュリティ グループ タグ(SGT)と呼ばれることもあります。エンドポイント装置が SGT に応じてトラフィックをフィルタリングできるようにすることにより、アクセス コントロール ポリシーをネットワークに強制できます。 Cisco TrustSec では、入力タギングと出力フィルタリングを使用してアクセス コントロール ポリシーを適用します。

IP ACL

IP ACL は、トラフィックをパケットのレイヤ 3 ヘッダーの IPv4 情報に基づいてフィルタリングするために使用できるルールの順序セットです。 各ルールには、パケットがルールに一致するために満たさなければならない条件のセットが規定されています。 Cisco NX-OS ソフトウェアがパケットに IP ACL を適用することを判定するときは、すべてのルールの条件に照らしてパケットを調べます。 最初の一致によってパケットを許可するか拒否するか判定します。一致するものがない場合は、Cisco NX-OS ソフトウェアは適切なデフォルト ルールを適用します。 Cisco NX-OS ソフトウェアは、許可されたパケットの処理を継続し、拒否されたパケットをドロップします。

関連情報

MAC ACL

MAC ACL は各パケットのレイヤ 2 ヘッダーの情報を使用してトラフィックをフィルタリングする ACL です。 各ルールには、パケットがルールに一致するために満たさなければならない条件のセットが規定されています。 Cisco NX-OS ソフトウェアがパケットに MAC ACL を適用することを判定するときは、すべてのルールの条件に照らしてパケットを調べます。 最初の一致によってパケットを許可するか拒否するか判定します。一致するものがない場合は、NX-OS ソフトウェアは適切なデフォルト ルールを適用します。 Cisco NX-OS ソフトウェアは、許可されたパケットの処理を継続し、拒否されたパケットをドロップします。

関連情報

VACL

VLAN ACL(VACL)は、IP ACL または MAC ACL の適用例の 1 つです。 VACL を設定し、VLAN との間でルーティングされるかまたは VLAN 内でブリッジングされるすべてのパケットに適用できます。 VACL は、セキュリティ パケット フィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトだけを目的としたものです。 VACL は方向(入力または出力)で定義されることはありません。

関連情報

ポート セキュリティ

ポート セキュリティを使用すると、限定された MAC アドレス セットからのインバウンド トラフィックだけを許可するようなレイヤ 2 インターフェイスを設定できます。 この限定セットの MAC アドレスをセキュア MAC アドレスといいます。 さらに、デバイスは、同じ VLAN 内の別のインターフェイスでは、これらの MAC アドレスからのトラフィックを許可しません。 セキュア MAC アドレスの数は、インターフェイス単位で設定します。

DHCP スヌーピング

DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバとの間でファイアウォールのような機能を果たします。 DHCP スヌーピングでは次のアクティビティを実行します。

  • 信頼できない送信元からの DHCP メッセージを検証し、無効なメッセージをフィルタ処理して除外します。

  • DHCP スヌーピング バインディング データベースを構築し、管理します。このデータベースには、リース IP アドレスがある信頼できないホストに関する情報が保存されています。

  • DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。

ダイナミック ARP インスペクション(DAI)および IP ソース ガードも、DHCP スヌーピング バインディング データベースに格納された情報を使用します。

関連情報

ダイナミック ARP インスペクション

ダイナミック ARP インスペクション(DAI)を使用することで、有効な ARP 要求と応答だけが中継されることを保証できます。 DAI がイネーブルになり適切に設定されている場合、Cisco NX-OS デバイスは次のアクティビティを実行します。

  • 信頼できないポートを経由したすべての ARP 要求および ARP 応答を代行受信します。

  • 代行受信した各パケットが、IP アドレスと MAC アドレスの有効なバインディングを持つことを確認してから、ローカル ARP キャッシュを更新するか、または適切な宛先にパケットを転送します。

  • 無効な ARP パケットはドロップします。

DAI は DHCP スヌーピング バインディング データベースに保存された有効な IP アドレスと MAC アドレスのバインディングに基づき、ARP パケットの有効性を判断できます。 このデータベースは、VLAN とデバイス上で DHCP スヌーピングがイネーブルにされている場合に、DHCP スヌーピングによって構築されます。 ARP パケットを信頼できるインターフェイス上で受信した場合は、デバイスはこのパケットを検査せずに転送します。 信頼できないインターフェイス上では、デバイスは有効性を確認できたパケットだけを転送します。

IPSG

IP ソース ガードは、インターフェイス単位のトラフィック フィルタです。各パケットの IP アドレスと MAC アドレスが、IP と MAC のアドレス バインディングのうち、次に示す 2 つの送信元のどちらかと一致する場合だけ、IP トラフィックを許可します。

  • DHCP スヌーピング バインディング テーブル内のエントリ

  • 設定したスタティック IP ソース エントリ

信頼できる IP と MAC アドレス バインディングに基づいてフィルタリングするので、有効なホストの IP アドレスのスプーフィングを使用した攻撃の防止に役立ちます。 IP ソース ガードを妨ぐためには、攻撃者は有効なホストの IP アドレスと MAC アドレスを両方スプーフィングする必要があります。

パスワード暗号化

高度暗号化規格(AES)パスワード暗号化機能では、サポートするアプリケーション(現在は RADIUS および TACACS+)のすべての既存および新規に作成されたクリア テキスト パスワードを、堅牢でリバーシブルのタイプ 6 暗号化形式で保存します。 マスター暗号キーは、パスワードを暗号化および復号化するために使用されます。 また、この機能を使用して、暗号化が脆弱な既存のすべてのパスワードをタイプ 6 暗号化パスワードに変換することもできます。

キーチェーン管理

キーチェーン管理を使用すると、キーチェーンの作成と管理を行えます。キーチェーンはキーのシーケンスを意味します(共有秘密ともいいます)。 キーチェーンは、他のデバイスとの通信をキーベース認証を使用して保護する機能と合わせて使用できます。 デバイスでは複数のキーチェーンを設定できます。

キーベース認証をサポートするルーティング プロトコルの中には、キーチェーンを使用してヒットレス キー ロールオーバーによる認証を実装できるものがあります。

Unicast RPF

ユニキャスト Reverse Path Forwarding(RPF)機能を使用すると、ネットワークに変形または偽造(スプーフィング)された IP ソース アドレスが注入されて引き起こされる問題を、裏付けのない IP ソース アドレスを廃棄する方法により緩和します。 たとえば、Smurf や Tribal Flood Network(TFN)など、いくつかの一般的なサービス拒絶(DoS)攻撃では、偽造の送信元 IP アドレスやすぐに変更される送信元 IP アドレスを利用して、攻撃を突き止めたりフィルタリングしたりする手段を防ぎます。 ユニキャスト RPF では、送信元アドレスが有効で IP ルーティング テーブルと一致するパケットだけを転送することにより、攻撃を回避します。

トラフィック ストーム制御

トラフィック ストーム制御(トラフィック抑制ともいいます)を使用すると、着信トラフィックのレベルを 1 秒より大きなインターバルでモニタできます。 この間、トラフィック レベル(ポートの使用可能合計帯域幅に対するパーセンテージ)が、設定したトラフィック ストーム制御レベルと比較されます。 入力トラフィックが、ポートに設定したトラフィック ストーム制御レベルに到達すると、トラフィック ストーム制御機能によってそのインターバルが終了するまでトラフィックがドロップされます。

コントロール プレーン ポリシング

Cisco NX-OS デバイスは、サービス拒絶(DoS)攻撃によるパフォーマンスへの影響を防ぐために、コントロール プレーン ポリシングを備えています。 Cisco NX-OS デバイスのスーパーバイザ モジュールには、マネージメント プレーンとコントロール プレーンの両方が搭載され、ネットワークの運用にクリティカルなモジュールです。 スーパーバイザ モジュールの動作が途絶するような場合には、重大なネットワークの停止につながります。 スーパーバイザに過剰なトラフィックが加わると、スーパーバイザ モジュールが過負荷になり、Cisco NX-OS デバイス全体のパフォーマンスが低下する可能性があります。 スーパーバイザ モジュールへの攻撃には、DoS 攻撃のようにコントロール プレーンを流れる IP トラフィック ストリームが非常に高いレートで発生するものなど、さまざまな種類があります。 攻撃によってコントロール プレーンはこれらのパケットの処理に大量の時間を費やしてしまい、本来のトラフィック処理が不可能になります。

レート制限

レート制限を行うことで、出力例外のリダイレクト パケットにより Cisco NX-OS デバイス上のスーパーバイザ モジュールに過剰な負荷がかかるのを回避できます。