ASA 5500 シリーズ適応型セキュリティ アプライアンスは、Content Security and Control ソフトウェアを実行する CSC SSM をサポートします。CSC SSM は、ウイルス、スパイウェア、スパムなど、望ましくないトラフィックからの保護を提供します。そのために、適応型セキュリティ アプライアンスで FTP、HTTP、POP3、および SMTP トラフィックを CSC SSM に誘導し、スキャンします。
- ・ CSC SSM について
- ・ CSC SSM を使用するセキュリティ アプライアンスの配置について
- ・ シナリオ:コンテント セキュリティ用に配置されている CSC SSM を使用するセキュリティ アプライアンス
- ・ 次の手順
CSC SSM について
CSC SSM は、疑わしいコンテントのシグニチャ プロファイルが含まれるファイルを管理し、Trend Micro のアップデート サーバから定期的にアップデートします。CSC SSM は、適応型セキュリティ アプライアンスから受信したトラフィックをスキャンし、Trend Micro から取得したコンテント プロファイルと比較します。正当なコンテントは適応型セキュリティ アプライアンスに転送してルーティングし、疑わしいコンテントはブロックしてレポートします。
Trend Micro からコンテント プロファイルを取得するほかに、システム管理者は、CSC SSM が追加のトラフィック タイプまたはロケーションをスキャンするように、設定をカスタマイズすることもできます。たとえば、システム管理者は、特定の URL をブロックまたはフィルタリングしたり、FTP や電子メールのパラメータをスキャンするように、CSC SSM を設定できます。
CSC SSM のシステム セットアップおよびモニタリングは、ASDM を使用して実行できます。CSC SSM ソフトウェアのコンテント セキュリティ ポリシーの高度な設定を行うには、ASDM のリンクをクリックして、CSC SSM の Web ベースの GUI にアクセスします。
この章では、配置用に適応型セキュリティ アプライアンスを設定する方法を説明します。CSC SSM GUI の使用方法については、『Cisco Content Security and Control SSM Administrator Guide』で説明します。
CSC SSM を使用するセキュリティ アプライアンスの配置について
CSC SSM と共に適応型セキュリティ アプライアンスを配置するネットワークでは、スキャンする種類のトラフィックだけを CSC SSM に送信するように、適応型セキュリティ アプライアンスを設定します。
図 14-1 で、企業ネットワーク、適応型セキュリティ アプライアンス、および CSC SSM と、インターネットとの間の基本的なトラフィック フローを示します。 図 14-1 で示すネットワークには、次の要素が含まれています。
- ・ CSC SSM が取り付けられ、設定されている適応型セキュリティ アプライアンス
- ・ CSC SSM に誘導してスキャンするトラフィックを指定する、適応型セキュリティ アプライアンスのサービス ポリシー
図 14-1 CSC SSM のトラフィック フロー
この例では、クライアントは Web サイトにアクセスできるネットワーク ユーザ、FTP サーバからファイルをダウンロードできるネットワーク ユーザ、または POP3 サーバからメールを取得できるネットワーク ユーザです。
- 1. クライアントが要求を開始する。
- 2. 適応型セキュリティ アプライアンスが要求を受信し、インターネットに転送する。
- 3. 要求されたコンテントを適応型セキュリティ アプライアンスが取得し、このコンテント タイプが CSC SSM に誘導し、スキャンする対象としてサービス ポリシーで定義されているかどうかを判別する。定義されている場合は、CSC SSM に誘導する。
- 4. CSC SSM が適応型セキュリティ アプライアンスからコンテントを受信し、スキャンし、Trend Micro コンテント フィルタの最新アップデートと比較する。
- 5. コンテントが疑わしい場合、CSC SSM はコンテントをブロックし、イベントをレポートする。コンテントが疑わしくない場合、CSC SSM は要求されたコンテントを適応型セキュリティ アプライアンスに戻し、ルーティングする。
シナリオ:コンテント セキュリティ用に配置されている CSC SSM を使用するセキュリティ アプライアンス
図 14-2 で、CSC SSM を使用する適応型セキュリティ アプライアンスの一般的な配置を示します。
図 14-2 CSC SSM 配置のシナリオ
このシナリオでは、顧客がコンテント セキュリティ用に CSC SSM を使用する、適応型セキュリティ アプライアンスを配置しています。次の点に注意してください。
- ・ 適応型セキュリティ アプライアンスが専用管理ネットワークにある。必ずしも専用管理ネットワークを使用する必要はありませんが、セキュリティの理由により、使用することが推奨されます。
- ・ この適応型セキュリティ アプライアンス設定には、2 つの管理ポートがある。1 つは、適応型セキュリティ アプライアンス自身の管理ポートで、もう 1 つは、CSC SSM の管理ポートです。すべての管理ホストが、両方の IP アドレスにアクセスできる必要があります。
- ・ HTTP プロキシ サーバが、内部ネットワークと専用管理ネットワークの両方に接続されている。これによって、CSC SSM は Trend Micro のアップデート サーバから、最新のコンテント セキュリティ フィルタを取得できます。
- ・ 管理ネットワークに SMTP サーバが含まれており、管理者は CSC SSM イベントの通知を受けることができる。管理ネットワークには syslog サーバも含まれており、CSC SSM が生成したログを保管できます。
設定の要件
適応型セキュリティ アプライアンスの配置を計画するときは、ネットワークが次の要件を満たしている必要があります。
- ・ SSM の管理ポート IP アドレスには、ASDM の実行に使用するホストからアクセスできる必要がある。ただし、SSM の管理ポートと適応型セキュリティ アプライアンス管理インターフェイスの IP アドレスは、別のサブネットにできます。
- ・ SSM の管理ポートは、CSC SSM が Trend Micro のアップデート サーバに到達できるように、インターネットに接続できる必要がある。
コンテント セキュリティ用の CSC SSM の設定
適応型セキュリティ アプライアンスと同時にオプションの CSC SSM モジュールを注文した場合、初期設定を完了するために、いくつかの手順を実行する必要があります。設定手順の一部は適応型セキュリティ アプライアンスで実行し、残りの設定手順は CSC SSM で実行するソフトウェアで実行します。
このマニュアルの前の手順を実行していた場合、この時点で、ASA システムはライセンス付きのソフトウェアを実行し、セットアップ ウィザードで基本的なシステム値が入力されています。次に、コンテント セキュリティ配置用に、適応型セキュリティ アプライアンスを設定します。
- 1. Cisco.com からソフトウェア アクティベーション キーを取得します。
- 2. CSC SSM の設定に必要な情報を収集します。
- 3. このセットアップ プロセスのすべての設定作業に使用する ASDM を開きます。
- 4. 時間設定を確認します。
- 5. CSC セットアップ ウィザードを実行して、CSC SSM を設定します。
- 6. 適応型セキュリティ アプライアンスを設定して、トラフィックを CSC SSM に誘導してスキャンします。
Cisco.com からのソフトウェア アクティベーション キーの取得
CSC SSM を使用して、Product Authorization Key(PAK)を受信します。PAK を使用して、次の URL で CSC SSM を登録します。
http://www.cisco.com/go/license
登録後、電子メールでアクティベーション キーを受信します。このアクティベーション キーは、 CSC セットアップ ウィザードの実行 で説明する手順で必要になります。
情報の収集
適応型セキュリティ アプライアンス、および CSC SSM の設定を開始する前に、次の情報を収集します。
CSC SSM の管理ポートの IP アドレス ネットマスク、ゲートウェイ IP アドレス、およびネットマスク(適応型セキュリティ アプライアンスの IP アドレスは、 付録A 「3DES/AES ライセンスの取得」 で説明するように、Setup Wizard を実行したときに割り当てられます)。
- ・ CSC SSM で使用するホスト名とドメイン名
- ・ DNS サーバの IP アドレス
- ・ HTTP プロキシ サーバの IP アドレス(ネットワークで、インターネットへの HTTP アクセスにプロキシを使用している場合)
- ・ 電子メール通知に使用する電子メール アドレスと、SMTP サーバの IP アドレスおよびポート番号
- ・ CSC SSM への管理アクセスを許可するホスト、およびネットワークの IP アドレス
ASDM の起動
この項では、ASDM Launcher ソフトウェアを使用して ASDM を起動する方法について説明します。ASDM Launcher ソフトウェアをまだインストールしていない場合は、 ASDM Launcher のインストール を参照してください。
Web ブラウザまたは Java を使用して直接 ASDM にアクセスする場合は、 Web ブラウザを使用した ASDM の起動 を参照してください。
ASDM Launcher ソフトウェアを使用して ASDM を起動するには、次の手順を実行します。
ステップ 2 適応型セキュリティ アプライアンスの IP アドレスまたはホスト名を入力します。
ステップ 3 Username および Password フィールドはブランクのままにします。
ステップ 5 証明書を受け入れるよう要求するセキュリティ警告が表示されたら、 Yes をクリックします。
ASA は更新するソフトウェアがあるかどうかを確認し、ある場合は自動的にダウンロードします。
時間設定の確認
適応型セキュリティ アプライアンスの時間設定が、時間帯を含めて正しいことを確認します。時間は、CSC SSM でのセキュリティ イベントのロギング、およびコンテント フィルタ リストの自動アップデートにとって重要です。また、ライセンスは時間の影響を受けるため、ライセンスにとっても重要です。
- ・ 時間設定を手動で制御する場合は、クロック設定を確認します。ASDM で、 Device Setup > System Time > Clock をクリックします。
- ・ NTP を使用して時間設定を制御する場合は、NTP 設定を確認します。ASDM で、 Device Setup > System Type > NTP をクリックします。
CSC セットアップ ウィザードの実行
ステップ 2 左ペインで、 Trend Micro Content Security タブをクリックします。
ステップ 3 CSC Wizard の Step 1 で、Base License の Activation Code を入力します。オプションで、Plus License のアクティベーション コードを入力します。
Plus License のアクティベーション コードは、CSC SSM の初期設定の後でも入力できます。
ステップ 5 CSC Wizard の Step 2 で、次の情報を入力します。
- ・ CSC 管理インターフェイスの IP アドレス、ネットマスク、およびゲートウェイ IP アドレス
- ・ プライマリ DNS サーバの IP アドレス
- ・ HTTP プロキシ サーバの IP アドレスおよびプロキシ ポート(ネットワークで HTTP 要求をインターネットに送信するときに、HTTP プロキシを使用している場合のみ)
ステップ 7 CSC Setup Wizard の Step 3 で、次の情報を入力します。
ステップ 9 CSC Setup Wizard の Step 4 で、CSC SSM への管理アクセスが必要な各サブネットおよびホストの、IP アドレスとマスクを入力します。
デフォルトでは、すべてのネットワークが CSC SSM に管理アクセスできます。セキュリティ上の理由により、特定のサブネットまたは管理ホストにアクセスを制限することが推奨されます。
ステップ 11 CSC Setup Wizard の Step 5 で、管理アクセス用の新しいパスワードを入力します。Old Password フィールドに、工場出荷時のデフォルト パスワード「cisco」を入力します。
ステップ 13 CSC Setup Wizard の Step 6 で、スキャンするトラフィックのタイプを指定します。
適応型セキュリティ アプライアンスは、ファイアウォール ポリシーを適用した後、出力インターフェイスから出る前に、パケットを CSC SSM に誘導します。たとえば、アクセスリストによってブロックされたパケットは、CSC SSM に転送されません。
適応型セキュリティ アプライアンスで、CSC SSM に誘導するトラフィックを指定するサービス ポリシーを設定します。CSC SSM は、HTTP、POP3、FTP、および SMTP プロトコルの既知のポートに送信された、これらのトラフィックをスキャンできます。
初期設定プロセスを簡素化するために、この手順では、サポートされるプロトコルのすべてのトラフィック(着信および発信)を CSC SSM に誘導する、グローバル サービス ポリシーを作成します。適応型セキュリティ アプライアンスを通過するすべてのトラフィックをスキャンすると、適応型セキュリティ アプライアンス、および CSC SSM のパフォーマンスが低下する可能性があるため、このセキュリティ ポリシーは後で変更できます。たとえば、通常、内部ネットワークからの着信トラフィックは、信頼される発信元から着信しているため、すべてをスキャンする必要はありません。CSC SSM が信頼されない発信元からのトラフィックだけをスキャンするようにサービス ポリシーを調整することによって、セキュリティの目的を達成しながら、適応型セキュリティ アプライアンス、および CSC SSM の最大のパフォーマンスが得られます。
スキャンするトラフィックを特定するグローバル サービス ポリシーを作成するには、次の手順を実行します。
Traffic Selection for CSC Scan ダイアログボックスが表示されます。
- b. Interface ドロップダウン リストで、Global を選択します。
- c. Source および Destination フィールドの設定は Any のままにします。
- d. Service 領域で、省略符号(...)オプション ボタンをクリックします。このダイアログボックスで、事前定義済みのサービスを選択するか、または Add をクリックして新しいサービスを定義します。
- e. If CSC card fails, then 領域で、CSC SSM を使用できないときに選択されたトラフィックを、適応型セキュリティ アプライアンスが許可するか拒否するかを選択します。
- f. OK をクリックし、Traffic Selection for CSC Scan ウィンドウに戻ります。
- g. Next をクリックします。
ステップ 14 CSC Setup Wizard の Step 7 で、CSC SSM に入力したコンフィギュレーション設定値を確認します。
これらの設定が正しいことを確認したら、 Finish をクリックします。
ASDM に、CSC デバイスがアクティブになったことを示すメッセージが表示されます。
デフォルトでは、CSC SSM は、購入したライセンスでイネーブルになっているコンテント セキュリティ スキャン(アンチウイルス、アンチスパム、アンチフィッシング、コンテント フィルタリングなど)を実行するように設定されています。また、Trend Micro のアップデート サーバから、定期的にアップデートを取得するように設定されています。
購入したライセンスに含まれている場合、URL ブロッキングおよび URL フィルタリング用のカスタム設定や、電子メールおよび FTP のパラメータを作成できます。詳細については、『Cisco Content Security and Control SSM Administrator Guide』を参照してください。
次の手順
これで、Trend Micro Interscan for Cisco CSC SSM ソフトウェアを設定する準備ができました。次のマニュアルを参照して、実装に合せて適応型セキュリティ アプライアンスを設定します。
|
ASDM のオンライン ヘルプ( Configuration または Monitoring タブをクリックし、 Trend Micro Content Security タブをクリック) |
|
|
『 Cisco Security Appliance Command Line Configuration Guide 』の「Managing AIP SSM and CSC SSM」 |
CSC SSM ソフトウェアを設定した後、次の追加の手順について、実行する必要があるかどうかを検討してください。
|
Cisco Security Appliance Command Reference Cisco Security Appliance Logging Configuration and System Log Messages |
|
適応型セキュリティ アプライアンスは、複数のアプリケーション用に設定できます。次の項で、その他の一般的なアプリケーション用に適応型セキュリティ アプライアンスを設定する手順を説明します。
