データ シートCisco IOS セキュリティ サービスによるネットワーク インフラストラクチャの保護現在の複雑なネットワーク環境において、ネットワーキング デバイスは、さまざまな企業の要件に対応する設定オプションを提供しています。このようなサービスには、不正行為からネットワークを保護する境界セキュリティ サービス、およびネットワーク デバイス自体を保護するセキュリティ サービスなどの豊富な機能も含まれています。高度なセキュリティ環境においてますます複雑になる攻撃に対処するために、シスコでは、境界とデバイスの両方の保護に対応して Cisco IOS® セキュリティ サービスを強化し、デバイスのアベイラビリティを確保しています。 以下のサービスは、ネットワーキング デバイスを保護するために設計されたもので、Cisco IOS ソフトウェアの豊富な機能を補完する最新の拡張機能です。 Cisco AutoSecureセキュリティの設定では、各パラメータの設定がセキュリティにどのような影響を与えるかを詳細に理解する必要があります。このようなパラメータを設定するときに間違いや漏れがあると、セキュリティ ホールが簡単に悪用されネットワークが危険にさらされ、ネットワーク情報のアベイラビリティ、整合性、およびプライバシーが脆弱化する可能性があります。多くのネットワーク管理者は、Cisco IOS ソフトウェアの各機能のセキュリティへの影響を理解するうえで、限られた専門知識しか持っていません。 Cisco AutoSecure は、簡単な「ワンタッチの」デバイス ロックダウン プロセスを組み込むことで、エンタープライズおよびサービス プロバイダー ネットワークに不可欠なセキュリティのコンポーネントを提供します。Cisco IOS ソフトウェアの機能に関する幅広い知識を習得したり、CLI(コマンドライン インターフェイス)を手動で実行したりしなくても、セキュリティ ポリシーおよび手順を迅速に実装できるため、セキュリティに関するプロセスが簡素化されます。この機能では、1 つの CLI コマンドによってルータのセキュリティ態勢を瞬時に設定し、必須ではないシステムのプロセスとサービスを無効にすることで、潜在的なセキュリティの脅威を解消します。 Cisco AutoSecure は、ユーザの導入目的に応じて、次のいずれかのモードで導入できます。
コントロール プレーン ポリシング最も強固なソフトウェアの実装とハードウェア アーキテクチャでも、DoS 攻撃(サービス拒絶攻撃)に対しては脆弱です。DoS 攻撃とは、コントロール プレーン プロセッサに対する特定の制御パケットとして偽装された不要なトラフィックをネットワーク インフラストラクチャにフラッディングさせることで障害を引き起こす、悪質な行為です。Distributed DoS(DDoS)攻撃では、数百のソースからの不要な IP トラフィックの量が場合によっては毎秒数 GB にまで増大します。このような IP ストリームには、シスコのルート プロセッサのコントロール プレーンによって処理されるパケットが含まれています。大量の不正パケットがルート プロセッサに送信されるため、コントロール プレーンでは、DoS トラフィックの処理と廃棄に長時間を費やさざるを得なくなります。 システムの心臓部であるプロセッサを狙ったこのような脅威に対処するために、コントロール プレーン ポリシングではコントロール プレーンへのトラフィック レートを制限(または規制)するプログラム可能なポリシング機能をルータに適用できます。このポリシング機能と Cisco IOS QoS(Quality of Service)分類メカニズムを組み合わせることで、特定の種類のトラフィックを完全に識別して制限したり、指定されたしきい値のレベルを超えるトラフィックだけを制限の対象にしたりするように設定できます。 コントロール プレーン ポリシングの詳細については、以下のサイトをご覧ください。 サイレント モードシステムをハッキングするための要件として、ネットワークに関する情報を得るための偵察行為が挙げられます。ハッカーは、パケットの配信状態など、システム メッセージを傍受することで偵察を行い、情報(デバイスの IP アドレス)を取得します。 サイレント モードは Cisco IOS ソフトウェアの新機能で、ハッカーが収集できるネットワークに関する情報の量を少なくします。サイレント モードでは、ルータが特定の情報パケットを生成できないようにします。たとえば、通常はルータによって生成される Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)メッセージおよび Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)トラップを抑止します。コントロール プレーン ポリシングと同様に、サイレント モードではわかりやすい Modular QoS CLI(MQC)インターフェイスが使用されます。 Cisco IOS ソフトウェア ログイン拡張機能Cisco IOS ソフトウェアでは、ネットワーキング デバイスへのアクセスを制御するために、デバイスへのログインの際にユーザにユーザ名とパスワードを要求します。しかしながら、ハッカーは辞書攻撃によってこの要件を悪用します。この攻撃では、ハッカーはユーザ名とパスワードのあらゆる組み合わせをプログラムによって試すことで、デバイスへのアクセス権を取得します。 Cisco IOS ソフトウェア ログイン拡張機能では、ユーザ ログインに新たに時間を基準とした機能が提供されます。ネットワーク管理者はこの機能を利用して、再試行の間隔を指定し、辞書攻撃を解消できます。ユーザ アカウントのロックアウトには、デバイスにログオンするためにユーザに与えられる時間を含めることができます。 ログイン拡張機能の詳細については、以下のサイトをご覧ください。 http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123t/123t_4/gt_login.htm CPU およびメモリしきい値の通知CPU とメモリは、ネットワーキング デバイスのアベイラビリティの影響を解消するために不可欠なリソースです。現在、SNMP MIB では、モニタリング アプリケーションによって特定のリソースのアベイラビリティを問い合わせることができます。しかし、CPU やメモリは動的に動作するため、これらの変数の定期的なポーリングでは、ネットワークのアベイラビリティを最大化するために必要な対応に遅れがでます。 メモリしきい値の通知を使用すると、ユーザはさまざまなリソース グループが消費するメモリの量を管理できます。メモリの最大値をバイト数、またはプロセッサ リソースの合計に対する割合として指定できます。リソース グループが指定したメモリのしきい値に達すると、ユーザに通知が送信されます。 CPU しきい値の通知を使用すると、CPU 利用率のしきい値を設定できます。この値を超過すると、通知が送信されます。Cisco IOS ソフトウェアでは、2 つの CPU 利用率のしきい値をサポートしています。
CPU およびメモリしきい値の通知の詳細については、以下のサイトをご覧ください。
Cisco IOS ソフトウェア イメージ検証現在、シスコでは MD5 ハッシュ コーディングを使用して、Cisco IOS ソフトウェア イメージの整合性を検証しています。MD5 ハッシュ コードは Cisco.com で入手できますが、ユーザは一連の手順を実行して、イメージ検証を行う必要があります。 Cisco IOS ソフトウェア イメージ検証では、イメージに MD5 ハッシュ コーディングを組み込み、コピー、リロード、および手動検証の実行中に、MD5 ハッシュ チェックサムを自動的に行うことで、検証のプロセスを簡素化します。 raw IP トラフィック エクスポートネットワーク トラフィックの詳細なセキュリティ分析を行うために、多くのネットワーク管理者は、プロトコル アナライザや軽減対策サーバなどのツールを接続する必要があります。ただし、このようなツールをルータに接続するためにはインラインで挿入しなければなりません。しかし、これは運用上困難です。 raw IP トラフィック エクスポート機能は、軽量の Cisco IOS ソフトウェア機能で、IP パケットがネットワーキング デバイスに到達したとき、またはネットワーク デバイスから発信されたときに、IP パケットをエクスポートします。指定された LAN インターフェイスにより、キャプチャした IP パケットがデバイスからエクスポートされます。これは、raw IP パケットを元の形のままで指定されたデバイス(つまり、パケット アナライザまたは IDS [侵入検知システム] デバイス)にエクスポートするためです。
raw IP トラフィック エクスポートの詳細については、以下のサイトをご覧ください。 http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123t/123t_4/gt_rawip.htm ACL IP オプションの選択的廃棄ほとんどの Cisco ルータでは、IP オプションを含むパケットはソフトウェアでフィルタされスイッチングされます。このようなパケットは、コントロール プレーン ソフトウェアの処理を必要とします。これは、オプションを処理して IP ヘッダーを書き換える必要があるためです。IP オプションを含む不正なパケットは、デバイスのパフォーマンスに悪影響を及ぼす可能性があるため、セキュリティの脅威になる可能性があります。 ACL IP オプションの選択的廃棄を使用すると、Cisco ルータでは、IP オプションを含むパケットを廃棄するか、IP オプションの処理を無視することで、これらのパケットをフィルタするか、またはルータ上での IP オプションの影響を軽減できます。 ACL IP オプションの選択的廃棄の詳細については、以下のサイトをご覧ください。 表 1 Cisco IOS セキュリティ インフラストラクチャの主な拡張機能
|
||||||||||||||||||||||||||||||
 |
Cisco IOS セキュリティによるネットワーク インフラストラクチャの保護