Cisco 1900 シリーズ サービス統合型ルータ

シスコ第 2 世代サービス統合型ルータ(ISR G2)向けネットワーク セキュリティ機能の詳細な概要

ホワイトペーパー





シスコ第 2 世代サービス統合型ルータ(ISR G2)向けネットワーク セキュリティ機能の詳細な概要



このホワイト ペーパーでは、Cisco® 1900、2900、3900 シリーズ サービス統合型ルータで利用できるネットワーク セキュリティ機能の詳細な概要を説明します。


次世代のブランチ セキュリティ


Cisco 1900、2900、3900 シリーズ サービス統合型ルータはシスコのソリューションおよびプロダクト ポートフォリオの重要なコンポーネントです。組み込み型のセキュリティ機能および VPN 機能により、WAN の境界で、リモート ブランチのネットワーク セキュリティに対する脅威を識別、防御し、対応できます。

ルータは次のような機能を提供するため、ネットワーク セキュリティを確保する重要なデバイスとなります。

  • セキュアな接続:複数タイプのトラフィックを統合して、セキュアでスケーラブルなネットワーク接続を提供します。接続には、IP セキュリティ(IPsec)VPN、Cisco Group Encrypted Transport VPN、ダイナミック マルチポイント VPN(DMVPN)、Enhanced Easy VPN、Secure Sockets Layer(SSL)VPN などがあります。
  • 統合型脅威コントロール:ネットワーク サービスを使用して、ネットワーク攻撃や脅威に対する防御と対応を行います。Cisco IOS® ファイアウォール、Cisco IOS 侵入防御システム(IPS)、コンテンツ フィルタリング、NetFlow、Flexible Packet Matching(FPM)などの機能があります。
  • 信頼性とアイデンティティ:AAA(認証、許可、アカウンティング)や Public Key Infrastructure (PKI; 公開鍵インフラストラクチャ)などのテクノロジーを使用して、エンドポイントをインテリジェントに保護します。
  • シスコ ネットワーク基盤の保護:ネットワーク インフラストラクチャを攻撃や脆弱性から、特にネットワーク レベルで保護します。AutoSecure、コントロール プレーン ポリシングおよび保護、発信元ベースの Remote-Triggered Black Holing(RTBH)フィルタリング、Unicast Reverse Path Forwarding(URPF)などの機能があります。

セキュアな接続


一般的な IP ネットワークでは、無数のアプリケーション(正当および不正なアプリケーションの両方を含む)が実行されており、パフォーマンスの影響を受けやすい音声、ビデオ、リアルタイムのデータ アプリケーションと競合します。たとえば、音声トラフィックは遅延の影響をよく受けます。音声パケットは通常小さく、それらが大量の重要でないデータ パケットの後ろの待ち行列に入れられてしまうと、雑音が目立つようになります。また、ビデオ トラフィックは高帯域幅を消費し、ジッタの影響を受けがちです。遅延の間にビデオ データをバッファすることができないことが多いため、安定したストリームに迅速に戻るためにパケットはドロップされてしまいます。このようなパケット ロスが頻繁に起こるとストリームが途切れがちになり、満足のいく映像を見ることはできません。

エンタープライズ向けの音声およびビデオ アプリケーションは、音声とビデオの品質を維持するために、高度なサービス品質(QoS)と IP マルチキャスト メカニズムを必要とします。サイト間およびリモートアクセス VPN は、プライマリ接続とバックアップ接続の両方において、様々な場所からの暗号化されたアクセスと安価な公衆インターネット アクセスを介してこの混合トラフィックを転送することを前提としています。したがって、VPN 上での音声およびビデオ アプリケーションの品質を維持するには、IPsec と QoS または IP マルチキャストの統合に対する追加要件を満たす必要があります。Voice over IP(VoIP)と IPTV はすでに主流となっており、Cisco TelePresence™ システムの導入も増え続けています。これらのリアルタイムの音声およびビデオ テレフォニー アプリケーションが数多く導入されるにつれ、ブランチオフィス サイトでの VPN とセキュリティのパフォーマンス、規模、機能統合に対する要求も高まっています。

Cisco 1900、2900、3900 シリーズ サービス統合型ルータは、音声、ビデオ、およびリアルタイムのデータを統合するスケーラブルな VPN を提供します。

  • QoS:暗号化前の Low-Latency Queuing(LLQ; 低遅延キューイング)は、VPN 上の音声品質を保証するために欠かせない要件です。内蔵プロセッサが、LLQ と、暗号化後のインターフェイスレベルの QoS を提供します。
  • IP マルチキャスト:セキュア マルチキャストは、キーイング プロトコルである Group Domain of Interpretation(GDOI)を IPsec 暗号化と組み合わせる基盤テクノロジーで、IP マルチキャスト トラフィックのセキュリティを保持するための効率的な方法をユーザに提供します。これにより、ルータは非トンネル(つまり「ネイティブ」)の IP マルチキャスト パケットに暗号化を適用でき、個別のトンネルを構成する必要がないため、効率性が高まります。IP マルチキャスト パケットをカプセル化することで、IP マルチキャスト ルーティング(たとえば、PIM [Protocol Independent Multicast])では、パケットが暗号化されていてもルートできるようになります。また、ネイティブの IP マルチキャスト カプセル化は、ユニキャストのトンネルで通常発生するパケット複製の過多を回避します。セキュア マルチキャストは、衛星リンクを介して送信される IP パケットの暗号化、音声会議における暗号化、セキュアでリアルタイムなコンテンツ の複製、および DMVPN などのアプリケーションに特に適しています。

標準 IPSec VPN

VPN はネットワーク接続の一形態として急増しています。VPN の導入が増えるにつれ、特に変化の速い企業のブランチ オフィス環境において、そのパフォーマンス、規模、機能の要件も高まっています。そのような要求の高いネットワークに最適なソリューションは、多くの場合、複数のセキュリティ サービスを提供しながら、リモート アクセスとサイト間 VPN の両方を扱うことができる単一のデバイスとなります。Cisco 1900、2900、3900 シリーズ サービス統合型ルータには、IPsec Advanced Encryption Standard(AES; 高度暗号化規格)、Data Encryption Standard(DES; データ暗号規格)、Triple DES(3DES; トリプル DES)暗号化および VPN プロセス向けの内蔵アクセラレーションが搭載されています。

主な機能は次のとおりです。

  • DES、3DES、AES(128、192、256)暗号化アルゴリズムのアクセラレーション
  • 認証機能として、Rivest、Shamir、Aldeman(RSA)アルゴリズム シグニチャおよび Diffie-Hellman をサポート
  • Secure Hash Algorithm 1(SHA-1)または Message Digest Algorithm 5(MD5)ハッシング アルゴリズムを使用して、データの整合性を保証

Cisco IOS ソフトウェア標準 IPsec の詳細については、次を参照してください。http://www.cisco.com/web/JP/product/hs/ios/security/iosips/index.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/12_4t/sec_secure_connectivity_12_4t_book.html [英語]

Cisco Group Encrypted Transport VPN

Cisco Group Encrypted Transport VPN の導入により、シスコはトンネルの必要がない新しいカテゴリの VPN を実現します。暗号化された IP ユニキャストおよびマルチキャスト パケットを、ルーティング プロトコルの決定に基づき直接リモート サイトにルーティングしたり、障害の発生したパスを避けて再ルーティングしたりして、可用性を向上させます。組織は既存のレイヤ 3 ルーティング情報を利用できるため、マルチキャスト レプリケーションの非効率性に対処でき、ネットワーク パフォーマンスが向上します。分散型ブランチ オフィス ネットワークは、QoS、ルーティング、マルチキャストなど、音声とビデオの品質に不可欠なネットワーク インテリジェンス機能を維持したまま、規模を拡張できます。

Group Encrypted Transport VPN は、「信頼できる」グループ メンバーという概念に基づく、標準ベースの新しい IPSec セキュリティ モデルを提供します。信頼できるグループ メンバー ルータは、どのようなポイントツーポイント IPSec トンネル関係にも依存しない、共通のセキュリティ方式を使用します。キー サーバは、登録および認証されたすべてのメンバー ルータにキーとポリシーを配布します(図 1)。

図 1 グループ セキュリティ機能

図 1 グループ セキュリティ機能


Group Encrypted Transport VPN は、さまざまなアプリケーションにメリットをもたらし、特に次のことを行います。

  • データ セキュリティとトランスポート認証を提供し、すべての WAN トラフィックを暗号化することで、セキュリティ準拠や内部規制の要件を満たします。
  • グループ暗号キーを使用することで、高スケールのネットワーク メッシュを可能にし、ピアツーピアの複雑なキー管理を解消します。
  • マルチプロトコル ラベル スイッチング(MPLS)ネットワーク内で、フルメッシュ接続、ナチュラル ルーティング パス、QoS などのネットワーク インテリジェンスを維持します。
  • 中央の集中管理キー サーバでメンバシップを簡単に制御できます。
  • 中央のハブを経由することなく、サイト間でのダイレクトな常時通信を実現することにより、遅延とジッタを低減します。
  • マルチキャスト トラフィックの複製にコア ネットワークを使用し、個々のピアサイトでパケット複製が行われないようにすることで、顧客宅内装置(CPE)およびプロバイダーエッジ暗号化デバイスのトラフィック負荷を軽減します。

Cisco GET VPN の詳細については、次を参照してください。

http://www.cisco.com/jp/go/getvpn/

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_encrypt_trns_vpn.html [英語]

ダイナミック マルチポイント VPN(DMVPN)

シスコのルータは DMVPN 機能を提供します。シスコ DMVPN は、オンデマンドでスケーラブルなフルメッシュ VPN を可能にし、遅延の短縮、帯域幅の節約、および VPN 展開の簡素化を支援します(図 2)。DMVPN 機能は、IPSec とルーティングに関するシスコのノウハウをベースに構築されたもので、GRE トンネル、IPSec 暗号化、Next Hop Resolution Protocol(NHRP)、Open Shortest Path First(OSPF)、および Enhanced Interior Gateway Routing Protocol(EIGRP)を動的に設定するのに役立ちます。

図 2 DMVPN

図 2 DMVPN
※画像をクリックすると、大きな画面で表示されますpopup_icon


DMVPN の真価は企業の本社で発揮されます。VAN トンネルを QoS や IP マルチキャストなどのテクノロジーと組み合わせて動的に設定することで、管理作業の負荷を軽減しながら、遅延の影響を受けやすいアプリケーションのパフォーマンスを最適化できます。たとえば、DMVPN を使うと、WAN 接続の場合と同等の音声およびビデオ アプリケーションのパフォーマンスを、IP 転送ネットワーク上でもセキュアかつ効果的に実現できます。

DMVPN は、企業のブランチ オフィス、テレワーカー、エクストラネット接続に幅広く使用されています。主に次のような利点があります。

  • ハブとスポークの簡単な設定によるフルメッシュ接続のプロビジョニング
  • IPsec トンネル構築のための自動 IPsec トリガリング
  • 新しいスポークの追加のためのゼロタッチ設定の促進
  • ダイナミック アドレス指定スポークのサポート

Cisco DMVPN の詳細については、次を参照してください。

http://www.cisco.com/go/dmvpn/ [英語]

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_DMVPN.html [英語]

Easy VPN および Enhanced Easy VPN

シンプルさと高い拡張性、そしてリモートアクセスの要件を満たすために、シスコは Easy VPN ソリューションを用意しました。このソリューションは「ポリシープッシュ」テクノロジーを使用して、豊富な機能とポリシー制御を維持しながら、設定を簡素化します。企業本社で定義された Easy VPN サーバが、リモート VPN デバイスにセキュリティ ポリシーをプッシュし、それらの接続が確立される前に、最新のポリシーが配備されていることを確約します(図 3)。

図 3 Easy VPN トンネル セットアップ

図 3 Easy VPN トンネル セットアップ
※画像をクリックすると、大きな画面で表示されますpopup_icon


Easy VPN は次のようなメリットをもたらします。

  • Easy VPN は、ハードウェア(アクセス ルータ)CPE とソフトウェア リモート アクセス クライアントの両方を、同一の中央サイト ルータを使用してサポートします。Cisco VPN クライアント ソフトウェアを PC、Mac、および UNIX システムにインストールでき、追加コストなしで、ルータベースの VPN にリモート アクセス接続を追加できます。ハードウェア CPE とソフトウェア クライアントの両方に対して単一のテクノロジー(Easy VPN)が使用されるため、プロビジョニング、モニタリング、および AAA サービスが簡潔化および一体化され、その結果、総所有コスト(TCO)が削減されます。
  • Easy VPN は、CPE ルータと個々のユーザの両方に対して、ローカル(ルータベース)または中央集中型での RADIUS および AAA 認証を選択できるオプションを提供します。
  • Easy VPN はデジタル証明書をサポートし、事前共有キーを介してセキュリティを強化できます。
  • 中央サイトの複数の Easy VPN コンセントレータのロード バランシングを可能にします。バックアップ コンセントレータ情報を CPE へポリシー プッシュするため、CPE を設定し直すことなくソリューションを拡張できます。
  • Easy VPN サーバの仮想化により、サービス プロバイダーは単一のプラットフォームを使用して、複数の顧客に VPN サービスを提供できます。
  • Easy VPN には、ダイナミックな QoS ポリシー割り当て、ファイアウォールと IPS、スプリット トンネリング、Cisco IP サービスレベル契約(SLA)、および NetFlow など、パフォーマンス モニタリングのためのフル機能が統合されています。
  • Cisco Configuration Professional が提供するウィザードを使って、AAA やファイアウォールが統合された Easy VPN をすばやく展開できます。また、リモート Easy VPN クライアントをリアルタイムでグラフィカルにモニタリングできます。
  • Easy VPN は、Cisco IOS ソフトウェアおよび Cisco Adaptive Security Algorithm(ASA)アプライアンスなど、すべての Cisco VPN 製品ラインでサポートされています。

Enhanced Easy VPN 機能を仮想トンネル インターフェイス(VTI)と統合すると、Easy VPN で仮想インターフェイスを直接設定することができ、展開や高度なネットワーク統合が簡素化されます。これには次のような利点があります。

  • ヘッドエンドおよびリモート ブランチ オフィスでの設定要件が大幅に簡素化されます。
  • VTI を使用して IP サービスを設定(または AAA サーバからサービスをダウンロード)でき、接続時にこれらのテンプレートから VTI インスタンスが動的にクローンされます。各リモート サイトに対して、膨大な数の似たような一連の設定コマンドを手動で作成する必要はありません。
  • VTI では、QoS などのユーザ単位の属性を使って、ユーザ単位のポリシー設定が簡単にできるため、管理者は望みどおりのアプリケーション パフォーマンスを積極的に提供し、ユーザの生産性と動機付けを維持することができます。
  • VTI では、各ブランチオフィスの VPN トンネルをそれぞれ固有のパラメータで設定でき、サイト固有のニーズに基づいた設定やセキュリティのカスタマイズに柔軟性がもたらされます。

Cisco Easy VPN の詳細については、次を参照してください。

http://www.cisco.com/go/easyvpn/ [英語]

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_easy_vpn_rem.html [英語]

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_easy_vpn_srvr.html [英語]

Cisco IOS SSL VPN

Cisco IOS SSL VPN はルータベース ソリューションで、集約されたデータ、音声およびワイヤレス プラットフォームに対して、業界をリードするルーティング機能およびセキュリティ機能を統合した SSL VPN リモート アクセスを提供します。SSL VPN を使用すると、企業は自社のネットワークを、インターネット接続された任意のロケーションにセキュアかつ透過的に拡張できます。Cisco IOS SSL VPN は、HTML ベースのイントラネット コンテンツ、E メール、ネットワーク ファイル共有、Citrix といったアプリケーションや Cisco SSL VPN クライアントへの、クライアントレス型のアクセスをサポートします。これにより、実質的にあらゆるアプリケーションへのリモートからのフル ネットワーク アクセスが可能になります。Cisco IOS SSL VPN の一部である Cisco Secure Desktop を使用すると、企業外のデバイスにもデータ盗難対策を提供できます。Cisco Configuration Professional により、Cisco IOS SSL VPN を容易に展開でき、SSL VPN セッションの監視および管理がリアルタイムで行えます。

Cisco IOS SSL VPN の詳細については、次を参照してください。

http://www.cisco.com/web/JP/product/hs/ios/security/iosssl/index.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_ssl_vpn.html [英語]

仮想トンネル インターフェイス(VTI)

VPN は、セキュアな WAN 接続の主流ソリューションとして、その認識が高まっています。VPN は、専用回線、フレーム リレー、または ATM を使用している既存のプライベート ネットワークを代替または増強し、リモートおよびブランチ オフィスと中央サイトを、よりコスト効率よく高い柔軟性で接続します。この新しい状況により、VPN デバイスにはより優れたパフォーマンス、LAN および WAN インターフェイスのサポート、および高いネットワーク アベイラビリティが要求されます。

新しい Cisco IPsec VTI ツールを使えば、サイト間における複数のデバイスの IPsec ベースでの VPN を設定できます。このツールには IPSec トンネルを終端するためのルーティング可能なインターフェイスがあるため、設定が簡素化します。Cisco IPSec VTI トンネルは、共有 WAN 上での経路を指定し、新しいパケット ヘッダーを使ってトラフィックをカプセル化することにより、指定の宛先への確実な転送を可能にします。トラフィックは一方のエンドポイントからしかトンネルに入らないため、このネットワークのプライバシーは維持されます。また、IPSec によって真の機密保持が実現し(暗号化と同様)、また、暗号化されたトラフィックにも対応します。

Cisco IPsec VTI を使用することで、企業はコスト効率に優れた VPN をフルに活用し、品質と信頼性を犠牲にすることなく、音声およびビデオをデータ ネットワークに追加し続けることが可能になります。このテクノロジーはサイト間 VPN にセキュリティ性の高い接続を提供し、ネットワークを介した音声、ビデオ、およびデータの集約を実現します。

Cisco IPsec VTI の詳細については、次を参照してください。

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_ipsec_virt_tunnl.html [英語]

マルチ Virtual Route Forwarding(VRF)カスタマー エッジおよび MPLS セキュア コンテキスト

マルチ VRF CE(VRF-Lite とも呼ばれる)は、同一の物理ルータ内で、ルーティング/フォワーディング テーブルの複数のインスタンスを設定し、維持する機能を提供します。マルチ VRF をイーサネット VLAN テクノロジーやフレーム リレーなどの WAN VPN テクノロジーと組み合わせれば、単一の物理ネットワークを使用して複数の論理サービスをプロビジョニングでき、プライバシーとセキュリティをカスタマー エッジにまで拡張できます。

マルチ VRF 装備のシスコ ルータが 1 台あれば、データ、ルーティング、および物理インターフェイスを個別に維持しながら、同じ IP アドレスを持つ複数の企業をサポートできます。

マルチ VRF CE の詳細については、次を参照してください。

http://www.cisco.com/en/US/products/hw/routers/ps259/prod_bulletin09186a00800921d7.html [英語]

IPSec ハイ アベイラビリティ

Cisco VPN は、冗長性とロード バランシングの導入のための数々の機能をサポートします。比較的小規模なヘッドエンド IPsec の導入には、Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)および Reverse Route Injection(RRI; 逆ルート注入)を使用して冗長性を提供し、一方、より大規模な導入には、Cisco Server Load Balancing(SLB; シスコ サーバ ロード バランシング)を使用して冗長性とロード バランシングを提供することができます。

  • IPSec ステートフル フェールオーバー: IPsec ステートフル フェールオーバーでは、計画された停止または予期しない停止が発生した場合に、バックアップ IPsec サーバを使用して IPsec パケットの処理とフォワーディングを続行することができます。バックアップ(セカンダリ)IPsec サーバは、アクティブ(プライマリ)ルータへの接続が何らかの理由でできなくなった場合に、ピアとのセキュアな接続を失うことなく、アクティブ ルータのタスクを自動的に引き継ぎます。このプロセスは透過的であり、リモート ピアの調整や再構成は不要です。IPsec ステートフル フェールオーバーは、Stateful Switchover(SSO)および HSRP と連携して動作するように設計されています。HSRP は IP ネットワークにネットワーク冗長性を提供し、ユーザ トラフィックがネットワーク エッジ デバイスまたはアクセス回路の障害から即時かつ透過的に回復できるようにします。IPsec ステートフル フェールオーバーは、IPsec トンネル、GRE を使用した IPsec、および Cisco IOS Easy VPN トラフィックを保護します。
  • HSRP および RRI:RRI はダイナミックとスタティックの両方の暗号化マップとともに動作し、ハイ アベイラビリティまたはロード バランシングのいずれかを必要とする VPN 向けのネットワーク設計を簡素化します。ルートは各リモート ネットワークまたはヘッドエンド デバイス上のホストに対して作成され、ダイナミックな伝搬路を実現できます。HSRP と IPsec はトラフィックを動的に再ルーティングし、サービスのアベイラビリティを最大化します。プライマリ ルータに障害が発生した場合に別のルータに切り替える機能を持たないホストには、HSRP が継続的なネットワーク アクセスを提供します。この場合、HSRP 仮想 IP アドレスが VPN トンネル エンドポイントとして使用され、IPsec のステートレスなフェールオーバーに対して継続的なアベイラビリティを提供します。
  • SLB:ネットワーク サーバのクラスタ(サーバ ファーム)内にある物理サーバ群を表す仮想サーバを定義することができます。クライアントが仮想サーバへの接続を開始すると、Cisco IOS ソフトウェアが、設定されたロード バランシング アルゴリズムに基づいて接続用の物理サーバを選択します。物理サーバに障害が発生した場合、SLB が新たに受信するすべての IPsec セッションをほかのサーバに動的に再ルーティングすることにより、冗長性を提供します。

IPsec ハイ アベイラビリティの詳細については、次を参照してください。

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_vpn_ha_enhance.html [英語]

統合型脅威コントロール


シスコの統合型脅威コントロールは、簡素化されたポリシー制御と予防的なシステム保護により、総合的なネットワーク保護を提供します。セキュリティ機能のこのカテゴリには、Cisco IOS ファイアウォール、Cisco IOS IPS、Cisco IOS コンテンツ フィルタリング、NetFlow、Network Based Application Recognition(NBAR)、Flexible Packet Matching(FPM)などの機能が含まれます。これらの機能を組み合わせ、次のようなことを実現します。

  • ネットワーク、サーバ、エンドポイント、および情報の保護
  • ネットワーク アクセスの規制、感染したシステムの隔離、侵入防止、重要ビジネス資産の保護
  • ワームやウイルス、マルウェアなどの悪意のあるトラフィックがビジネスに影響を与える前に対処

Cisco IOS ファイアウォール

Cisco IOS ファイアウォールは、Cisco IOS ソフトウェアに組み込まれたステートフルなファイアウォールです。これにより、Cisco 1900、2900、3900 シリーズ サービス統合型ルータは、1 台でネットワークへの WAN エントリ ポイントを保護できる理想的なセキュリティおよびルーティング ソリューションとなります。

Cisco IOS ファイアウォールには主に次のような機能があります。

  • ゾーンベースのポリシー:この機能で物理インターフェイスと仮想インターフェイスをゾーン分割し、論理ネットワーク トポロジを簡素化することができます。このようなゾーン分割により、各インターフェイスに対して個別にポリシーを構成する必要はなく、ゾーンごとのファイアウォール ポリシーの適用が簡単にできます。各ゾーン ペア間の各方向にゾーン ペア ポリシーが明示的に指定されていない限り、パケットは転送されません。ポリシーはシスコのポリシー言語(つまり Modular QoS CLI [MQC])で書かれ、各ゾーン ペアに適用するステートフル インスペクションの種類とセッション パラメータを規定します。たとえば、インターネットと DMZ(非武装地帯)ゾーンの境界は、HTTP およびドメイン ネーム システム(DNS)の通過を許可する明示的なポリシーが必要な場合があります。
  • 高度アプリケーション インスペクションおよび制御(AIC):この機能は、インスペクション エンジンを使ってプロトコル準拠を実行し、ポート 80 トンネリングや電子メール接続(Simple Mail Transfer Protocol [SMTP]、Extended SMTP [ESMTP]、Point of Presence 3 [POP3]、Internet Mail Access Protocol [IMAP])の悪用など、悪意のある動作または不正な動作を防止します。
  • セキュア ユニファイド コミュニケーション向けファイアウォール:Cisco IOS ファイアウォールは、メディア プロトコル コール フローおよび関連付けられたオープン チャネルのアプリケーションレベルの準拠性を含め、音声トラフィックを透過的にサポートします。H.323v2、v3、v4、Skinny Client Control Protocol(SCCP)、セッション開始プロトコル(SIP)などの音声プロトコルをサポートし、Cisco Unified Communications Manager、Cisco Unified Border Element などのユニファイド コミュニケーション コンポーネントおよびそれらのエンドポイントを確実に保護します。
  • VRF 対応ファイアウォール:VRF 導入における個別のコンテキスト レベルで利用可能なサービスに、ファイアウォールが含まれます。
  • ファイアウォール ハイ アベイラビリティ:ステートフル ファイアウォール フェールオーバーにより、2 つのデバイス間の HSRP ベースのアクティブ/スタンバイ フェールオーバーが可能となり、アクティブなセッションの中断を回避することができます。
  • トランスペアレント ファイアウォール:レイヤ 2 のセグメンテーションを提供し、ファイアウォールを既存のネットワークに簡単に追加できます。IP サブネットの番号を設定し直す必要はありません。
  • IPv6 ファイアウォール:Cisco IOS ファイアウォールを IPv6 と IPv4 の混合環境で運用できるようにします。
  • 詳細なセキュリティ ポリシー:ユーザ単位、インターフェイス単位、またはサブインターフェイス単位のセキュリティ ポリシーをサポートします。
  • 統合型アイデンティティ サービス:統合型アイデンティティ サービスはユーザ単位の認証と許可を提供します。
  • ポリシーベースのファイアウォール管理:Cisco Security Manager と Cisco Configuration Professional により、Cisco IOS ファイアウォールのポリシーベースによる直感的な管理方法を提供します。

Cisco IOS ファイアウォールの詳細については、次を参照してください。

http://www.cisco.com/jp/go/iosfw/

http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/12_4t/sec_data_plane_12_4t_book.html [英語]

Cisco IOS IPS

一部のシスコ ルータは IPS 機能を提供します。Cisco IOS IPS はインライン型のディープ パケット インスペクション ベースのソリューションで、Cisco IOS ソフトウェアを支援してネットワーク攻撃を効果的に軽減します。Cisco IOS IPS はステートフル パケット スキャン技術を使用し、また攻撃シグニチャおよび脆弱性シグニチャも、さまざまなシスコ スタンドアロン型侵入防御システム(IPS)アプライアンスおよびモジュールで利用できます。

既存のアクセス ルータにこの IPS ソリューションを統合することで、最小コストで、ネットワーク エッジに防御ラインを追加することができます。

Cisco IOS IPS には主に次のような機能があります。

  • インライン機能:この機能により、検出のみならず、ルータがセキュリティの脅威に対して即座に対応し、ネットワークを保護することが可能になります。ルータは必要に応じて、トラフィックのドロップ、アラームの発信、ローカルでの接続回避または接続のリセットができ、攻撃トラフィックを発信元で阻止し、ネットワークから迅速に排除します。これらのアクションは、シグニチャ単位で設定できます。
  • Signature Event Action Processor(SEAP):リスク評価に基づく独自のシグニチャ イベント アクション プロセッサで、リスク評価の高低でイベントをフィルタリングまたは区分し、より正確かつ効率的な IPS イベント監視を実現します。これにより、IPS ポリシーの管理が劇的に容易になります。
  • 既成シグニチャ ファイル:可能な限り侵入を防止したいと望むユーザは、「ありがちな」ワームおよび攻撃のシグニチャを含んだ使いやすいシグニチャ ファイルを選択できます。ありがちなワームや攻撃のシグニチャと一致したトラフィックは、ドロップされるよう構成されています。Cisco Configuration Professional は、これらのシグニチャのプロビジョニングを行える直感的なユーザ インターフェイスを提供します。ソフトウェア イメージを変更することなく Cisco.com から新しいシグニチャをアップロードしたり、これらのシグニチャに対してルータを適切に構成したりできます。
  • カスタマイズ可能なシグニチャ:新たに検出された脅威に対応するため、既存のシグニチャを調整したり、新しいシグニチャを作成したりできます(各シグニチャ アクションを個別にイネーブルにできます)。
  • トランスペアレント IPS:レイヤ 2 の接続にレイヤ 3 IPS を提供し、既存のネットワークに IPS を簡単に追加できます。IP サブネットの番号を設定し直す必要はありません。
  • VRF 対応 IPS:VRF 導入における個別のコンテキスト レベルで利用可能なサービスに、IPS が含まれます。
  • 大規模なシグニチャ データベース:選択できるシグニチャの数は増加し続けています。現在 Cisco IPS センサー プラットフォームは 1200 を超えるシグニチャをサポートしています。
  • 一貫した管理:シスコ侵入検知システム(IDS)センサー アプライアンスと同じ方法で、選択した IPS シグニチャをロードし、有効にすることができます。

Cisco IOS IPS の詳細については、次を参照してください。

http://www.cisco.com/jp/go/iosips/

Cisco IOS コンテンツ フィルタリング

Cisco IOS コンテンツ フィルタリングは、インターネットの既知および新規の脅威から組織を保護し、従業員の生産性を高め、法令順守のためのビジネス ポリシーの適用に役立ちます。コンテンツ フィルタリングは、特定の Web サイトへのアクセスを阻止または制限したり、マルウェアやアドウェア、スパイウェア、フィッシングで知られている悪意のあるサイトから保護したりすることにより、すべてのインターネット アクティビティを監視および規制します。また、シンプルで簡単な導入により、組織のネットワーク リソースの管理を支援します。

Cisco IOS コンテンツ フィルタリングには主に次のような機能があります。

  • サブスクリプションベースのサービス:1 年、2 年または 3 年の、簡単に更新できるサブスクリプションベースのサービスがルータに関連付けられています。個別のユーザ ライセンスは必要ありません。サブスクリプションによって、ルータに設定されたコンテンツ フィルタリング ポリシーで、Trend Micro のデータベースにアクセスすることができます。
  • セキュリティ評価: Cisco IOS コンテンツ フィルタリングは、ゼロデイ攻撃を含むさまざまな Web ベースの脅威から保護します。Web サイトに公開されたセキュリティ リスクを、Trend Micro の TrendLab からの分析に基づいて評価し、フィッシングに対抗すると共に、機密情報をハッカーやサイバー犯罪者に送信するスパイウェアから保護します。TrendLab は、マルウェア、アドウェア、フィッシング、スパイウェア、ハッキングの過去の挙動とそれらに対する現在の暴露状況の組み合わせに基づいて、特定の URL に対するセキュリティ評価を行います。
  • カテゴリベースの URL 分類:URL のコンテンツに基づいた分類で、不適切な Web サイト や生産性に影響する Web サイト(たとえばギャンブルや兵器に関するサイトなど)へのアクセスを制限します。評判に基づくブロッキング(スパイウェアやキーロギングなど)を含め、70 を超えるカテゴリが利用できます。
  • キーワード ブロッキング:Cisco IOS コンテンツ フィルタリングでは、URL 中に含まれる選択したキーワードに基づいて Web サイトをブロックすることができます。
  • ブラックリストとホワイトリスト サポート:Cisco IOS コンテンツ フィルタリングは 100 のブラック URL と 1000 のホワイト URL をサポートします。たとえば、信頼できる Web サイトはホワイト リストに追加できます。
  • 管理プロビジョニング:Cisco IOS コンテンツ フィルタリングは使いやすく、導入が簡単です。Web ベースのルータ管理ツールである Cisco Configuration Professional で管理できます。
  • キャッシング:キャッシング機能で URL カテゴリとそれらのポリシー決定(許可または拒否)をローカルでルータ上に格納することができ、インターネット アクセスの迅速な応答時間を確約します。管理者はルータのキャッシュ時間を設定することができます。

Cisco IOS コンテンツ フィルタリングの詳細については、次を参照してください。

http://www.cisco.com/go/ioscontentfiltering/ [英語]

NetFlow

NetFlow はネットワーク中の異常を検出する新しいテクノロジーです。IP トラフィックの分析に用いるテレメトリ データ、たとえば誰が、誰と、どのプロトコルで、どのくらいの時間、どのくらいの速度で通信しているかなどのデータを提供します。

Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃は、ネットワークの使用を急増させるものです。以前に収集されたプロファイルとベースラインから集めた典型的なトラフィック パターンと比較して、このような攻撃を異常なネットワーク「イベント」として迅速に識別します。

NetFlow の詳細なフロー データを分析することで、攻撃の種類(攻撃のソースおよびターゲット)、攻撃時間、攻撃で使用されるパケットの容量を分類することもできます。分析ツールには、シスコのセキュリティ パートナーおよび Cisco Security MARS(Monitoring, Analysis and Response System)の製品が含まれます (図 4 を参照)。

図 4 NetFlow および Arbor Networks を使用した、攻撃の変則性に基づく DDoS 検出の例

図 4 NetFlow および Arbor Networks を使用した、攻撃の変則性に基づく DDoS 検出の例
※画像をクリックすると、大きな画面で表示されますpopup_icon


Cisco IOS NetFlow の詳細については、http://www.cisco.com/go/netflow/ [英語] を参照してください。

Cisco Security MARS の詳細については、http://www.cisco.com/jp/go/mars/ 参照してください。

Network-Based Application Recognition(NBAR)

NBAR は Cisco IOS ソフトウェア内部の分類エンジンで、動的な TCP/User Datagram Protocol(UDP; ユーザ データグラム プロトコル)ポート割り当てを使用する Web ベース プロトコルや、その他の分類が困難なプロトコルを含む幅広いアプリケーションを、ディープ パケット インスペクションおよびステートフル パケット インスペクションを使用して認識します。NBAR をセキュリティのコンテキストで使用すると、ペイロード シグニチャに基づいてワームを検出することができます。アプリケーションが NBAR によって認識され、分類されると、ネットワークはその特定のアプリケーションに対してサービスを起動できます。また、このテクノロジーは、QoS 機能と連動してネットワーク帯域幅が効率的に使用されるようにすることができ、保証された帯域幅、帯域幅制限、トラフィック シェーピング、およびパケット カラリングを提供します。

Cisco Configuration Professional には NBAR を有効化する使いやすいウィザードが用意されています。また、アプリケーション トラフィックのグラフィカル ビューも利用できます。

Cisco NBAR の詳細については、http://www.cisco.com/go/nbar/ [英語] を参照してください。

Flexible Packet Matching(FPM)

FPM は、攻撃の特性についてパケットを検査し、適切なアクション(記録、廃棄、または インターネット制御メッセージ プロトコル [ICMP] 到達不能)を実行します。FPM は、レイヤ 2 〜 7 の柔軟なステートレス分類メカニズムを提供します。ユーザは、任意のプロトコルおよびトラフィックのプロトコル スタックのフィールドに基づいて、分類基準を指定できます。分類されたトラフィックに対して廃棄または記録などのアクションを、分類結果に基づいて実行できます。

FPM の詳細については、次を参照してください。

http://www.cisco.com/web/JP/product/hs/ios/security/fpm/index.html

http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/sec_flex_pack_match.html [英語]

信頼性とアイデンティティ


PKI クライアント(x.509 デジタル証明書

Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)は、セキュアなデータ ネットワークにおける暗号化およびアイデンティティ情報の配布、管理、廃止に対し、スケーラブルでセキュアなメカニズムを提供します。Cisco IOS ソフトウェアは、Cisco IOS 証明書サーバおよびサード パーティ認証局と相互運用できる、組み込み型 PKI クライアント機能をサポートします。

ルータは Rivest、Shamir、Adelman(RSA)キー ペア(秘密鍵と公開鍵各 1)を生成し、その正規のアイデンティティを確立します。認証局(CA)サーバがルータを検証し、デジタル証明書を発行して PKI への許可を与えます。証明書に含まれる情報を使用して、PKI 内の各ルータが別のピアのアイデンティティを検証し、証明書に含まれる公開鍵で暗号化セッションを確立します。

PKI クライアントが対応している機能は次を含みます。

  • 証明書サーバ:Cisco IOS ソフトウェア証明書サーバが使用できる、より小規模の展開向けに、外部(Verisign など)またはインハウス(Microsoft など)の証明書サーバをサポートします。
  • 証明書認証および登録:SCEP、手動および TFTP をサポートします。
  • 自動登録および更新:ルータが自動的にデジタル証明書を要求し、失効前に更新します。CA の証明書が更新された場合、証明書ロールオーバーによりシームレスな移行が可能です。
  • セキュア デバイス プロビジョニング:PKI と IPsec VPN を使用して、出荷時の基本設定でルータをセキュアに展開できます。エンドユーザによる難しい設定の必要はなく、リモート オフィスまたはテレワーカーの環境に最適です。
  • PKI - AAA 統合:ルータが AAA サーバをバックエンドで使用して許可を提供できるようにします。証明書フィールドに基づいた細かい管理を提供します。
  • 証明書に基づいたアクセス コントロール:装置内 ACL を使用して、証明書フィールドに基づき証明書を許可または拒否する以外は、PKI - AAA 統合に類似した機能を提供します。
  • HTTPS 管理および SSL VPN 機能:永続的自己署名証明書をサポートします。
  • 証明書失効チェック:証明書失効リスト(CRL)およびオンライン認証ステータス プロトコル(OCSP)をサポートします。
  • 複数レベルの CA 階層:ルータが複数レベルで CA トラストポイントと連携できます。ブランチ ルータを部門の CA や、その他の下位証明書サーバと連携して動作するようにセットアップできます。
  • PKI クレデンシャル(RSA キー)ストレージ:NVRAM で秘密鍵を保護でき、キー暗号化のオプションもあります。USB トークンもサポートします。
  • その他高度な PKI 機能に対応:ユーザがパスワードを回復しようとしたときの RSA キー消去、複数キー ペア、キー ペアと PEM 形式での証明書インポート、4096 ビット公開鍵および秘密鍵。

Cisco IOS ソフトウェア PKI の詳細については、次を参照してください。

http://www.cisco.com/en/US/products/ps6664/products_ios_protocol_option_home.html [英語]

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_pki_feat_rmap_ps6441_TSD_Products_Configuration_Guide_Chapter.html [英語]

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6660/prod_white_paper0900aecd8046cbc4.html [英語]

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6660/ps6807/prod_white_paper0900aecd805249e3_ns855_Networking_Solutions_White_Paper.html [英語]

Cisco IOS 証明書サーバ

Cisco IOS 証明書サーバにより、Cisco IOS ソフトウェアに証明書サーバが組み込まれ、ルータがネットワーク上で認証局として機能します。

VPN のインストールが拡大するにつれて、暗号化情報を生成および管理することは困難になっています。Cisco IOS 証明書サーバは、IPsec VPN をサポートしている同一のハードウェア上に構築したシンプルでスケーラブル、かつ管理が容易な認証局で、そのような課題に対応します。Cisco IOS 証明書サーバは、シンプルな対称キー展開の代替手段を提供します。

次の機能に対応しています。

  • Simple Certificate Enrollment Protocol(SCEP)
  • RSA キー ペアの生成
  • データベース ファイル ストレージ
  • CA 証明書およびキーの自動アーカイブ
  • 現行の証明書が失効したときの CA 証明書およびキーの自動ロールオーバー
  • 証明書失効リスト(CRL)
  • 下位認証局および登録局モード

Cisco IOS ソフトウェア証明書サーバの詳細については、次を参照してください。

http://www.cisco.com/en/US/products/ps6664/products_ios_protocol_option_home.html [英語]

http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_cfg_mng_cert_serv_external_docbase_0900e4b1805afd65_4container_external_docbase_0900e4b1807b4277.html [英語]

標準 802.1x ベースのアイデンティティ サービス

標準 802.1x アプリケーションは有効なアクセス クレデンシャルを要求するため、保護された情報への不正アクセスがより困難になります。802.1x アプリケーションを展開することにより、展開が容易な WLAN 機器の最大の懸案の 1 つである、保護されていない無線アクセス ポイントがユーザによって配置される可能性も効果的に低減できます。

802.1 の詳細については、次を参照してください。

http://www.cisco.com/en/US/products/ps6662/products_ios_protocol_option_home.html [英語]

http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_cfg_ieee802_pba.html [英語]

http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_ieee_loc_auth_sv.html [英語]

http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_vpn_ac_802_1x.html [英語]

AAA

Cisco IOS ソフトウェア AAA ネットワーク セキュリティ サービスは、ルータまたはアクセスサーバ上にアクセス制御機能を実装するための基本的なフレームワークを提供します。AAA により管理者は、特定のサービスまたはインターフェイスに適用されるメソッドのリストを使用して、認証の種類およびライン単位(ユーザ単位)またはサービス単位(たとえば IP、Internetwork Packet Exchange [IPX]、バーチャル プライベート ダイヤルアップ ネットワーク [VPDN])で必要な許可を、動的に構成することができます。

Cisco IOS ソフトウェア AAA の詳細については、次を参照してください。

http://www.cisco.com/en/US/products/ps6663/products_ios_protocol_option_home.html [英語]

http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/12_4T/sec_securing_user_services_12.4t_book.html [英語]

Cisco IOS ネットワーク基盤の保護


ネットワーク インフラストラクチャ デバイスの継続的なアベイラビリティは、企業の本社において特に重要です。ネットワーク ルータまたはスイッチが改ざんされると、悪意のある人物がネットワーク全体にアクセスできるようになってしまいます。攻撃に対するさまざまな優れた防御が取り入れられている場合でも、未知の攻撃に対する保護は不可欠です。

次のテクノロジーは、DDoS 攻撃が発生した場合の Cisco I

OS ソフトウェア デバイスの自己防衛と、管理および制御インターフェイスへのスプーフィング攻撃の可能性を最小限に抑えるセキュアな管理アクセスを含む、堅牢なネットワーク基盤の保護に重点を置いています。

AutoSecure

セキュリティの設定では、各パラメータの設定がセキュリティにどのような影響を与えるかを、詳細に理解する必要があります。このようなパラメータを設定するときに間違いや漏れがあると、セキュリティ ホールが簡単に悪用されてネットワークが危険にさらされ、ネットワーク情報のアベイラビリティ、整合性、およびプライバシーが脆弱化する可能性があります。多くのネットワーク管理者は、Cisco IOS ソフトウェアの各機能のセキュリティに対する影響を理解するうえで、限られた専門知識しか持っていません。

Cisco AutoSecure は、簡単な「ワンタッチの」デバイス ロックダウン プロセスを組み込むことで、エンタープライズおよびサービス プロバイダー ネットワークに不可欠なセキュリティのコンポーネントを提供します。Cisco IOS ソフトウェアの機能に関する幅広い知識を習得したり、CLI(コマンドライン インターフェイス)を手動で実行したりしなくても、セキュリティ ポリシーおよび手順を迅速に実装できるため、セキュリティに関するプロセスが簡素化されます。この機能では、1 つの CLI コマンドによってルータのセキュリティ態勢を瞬時に設定し、必須ではないシステムのプロセスとサービスを無効にすることで、潜在的なセキュリティの脅威を解消します。

Cisco AutoSecure は、ユーザの導入目的に応じて、次のいずれかのモードで導入できます。

  • 対話モード:サービスおよびその他のセキュリティ機能をイネーブルまたはディセーブルにするオプションを表示します。
  • 非対話モード:シスコが推奨するデフォルトの設定を使用して、Cisco AutoSecure コマンドを自動的に実行します。

AutoSecure の詳細については、次を参照してください。

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper09186a00801dbf61.html [英語]

http://www.cisco.com/en/US/products/ps6642/products_white_paper09186a0080183b83.shtml [英語]

http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_autosecure.html [英語]

コントロール プレーン ポリシングおよび保護

最も強固なソフトウェアの実装とハードウェア アーキテクチャでも、DoS 攻撃に対しては脆弱です。DoS 攻撃とは、コントロール プレーン プロセッサに対する特定の制御パケットとして偽装された不要なトラフィックを、ネットワーク インフラストラクチャにフラッディングさせることで障害を引き起こす悪質な行為です。分散型 DoS(DDoS)攻撃では、数百のソースが関与する不要な IP トラフィックの量が、場合によっては数 GB/秒にまで増大します。このような IP ストリームには、シスコのルート プロセッサのコントロール プレーンによって処理されるように送信されるパケットが含まれます。大量の不正パケットがルート プロセッサに送信されるため、コントロール プレーンでは、DoS トラフィックの処理と廃棄に長時間を費やさざるを得なくなります。

システムの心臓部であるプロセッサを狙ったこのような脅威に対処するために、コントロール プレーン ポリシングでは、コントロール プレーンへのトラフィック レートを制限(または規制)するプログラム可能なポリシング機能をルータに適用できます。このポリシング機能と Cisco IOS QoS 分類メカニズムを組み合わせることで、特定の種類のトラフィックを完全に識別して制限したり、指定されたしきい値のレベルを超えるトラフィックだけを制限の対象にするように設定できます(図 5)。

コントロール プレーン保護はこのポリシング機能を拡張し、より詳細なポリシングの細分化を可能にします。

コントロール プレーン ポリシングおよび保護の詳細については、次を参照してください。

http://www.cisco.com/en/US/products/ps6642/prod_white_papers_list.html [英語]

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122s/122snwft/release/122s18/gtrtlimt.htm [英語]

図 5 コントロール プレーン ポリシング:パケット バッファ、着信パケット、シスコ エクスプレス フォワーディングおよび 転送情報ベース(FIB)ルックアップ、出力パケット バッファ、サイレント モード

図 5 コントロール プレーン ポリシング:パケット バッファ、着信パケット、シスコ エクスプレス フォワーディングおよび 転送情報ベース(FIB)ルックアップ、出力パケット バッファ、サイレント モード
※画像をクリックすると、大きな画面で表示されますpopup_icon


CPU およびメモリしきい値の通知

CPU とメモリは、ネットワーキング デバイスのアベイラビリティの問題を低減するために不可欠なリソースです。現在、SNMP MIB では、モニタリング アプリケーションによって特定のリソースのアベイラビリティを問い合わせることができます。しかし、CPU やメモリは動的であるため、これらの変数の定期的なポーリングでは、ネットワークのアベイラビリティを最大化するのに必要なアクションが遅れがちです。

メモリしきい値の通知を使用すると、ユーザはさまざまなリソース グループが消費するメモリの量を管理できます。メモリの最大値は、バイト数、またはプロセッサ リソースの合計に対する割合で指定できます。リソース グループが指定したメモリのしきい値に達すると、ユーザに通知が送信されます。

CPU しきい値の通知を使用することで、CPU 利用率のしきい値を設定でき、この値を超えた場合には通知を受け取ることができます。Cisco IOS ソフトウェアでは、2 つの CPU 利用率のしきい値をサポートしています。

  • 上限しきい値:CPU 利用率が一定の時間このレベルを超過したときに通知を送信します。
  • 下限しきい値:CPU 利用率が一定の時間このレベルを下回ったときに通知を送信します。

CPU およびメモリしきい値の通知の詳細については、次を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123t/123t_4/gt_cput.htm [英語]

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_memnt.html [英語]

ルーティング保護

  • MD5 ネイバー認証:MD5 ネイバー認証によって、ルータは信頼できるルーティング情報を信頼できるネイバーからのみ受信します。各ルーティング アップデートは MD5 アルゴリズムによってハッシングされ、作成されたシグニチャ(ダイジェスト)がルーティング アップデート メッセージの一部として送信されます。これにより、ルータは各ネイバーの真正性とルーティング アップデートの整合性を確認することができます。
  • BGP TTL セキュリティ チェック:TTL セキュリティ チェックは、攻撃を受けるルータと同じサブネットに直接接続されていないシステムから発信されるルーティングベースの DoS 攻撃、不正ピアリング、およびセッション リセット攻撃を防止します。
  • TTL セキュリティ チェックでは、2 つの eBGP ピアの間で交換されるパケットに対して、許容可能な最小の TTL 値を設定することができます。これがイネーブルにされていると、両方のピアリング ルータがすべてのトラフィックを TTL 255 で相互に転送します。また、ルータは他方の eBGP ピアがそのピアリング セッションに対して設定された TTL 値以上の TTL を持つパケットを送信する場合のみ、ピアリング セッションを確立します。事前に設定された値より TTL 値が小さいパケットは、すべて自動的に廃棄されます。
  • これらの機能をすべてのルータ、特に外部のピアと接続するルータでイネーブルにしておくことを推奨します。これらの機能の詳細については、次を参照してください。

http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/Baseline_Security/sec_chap3.html [英語]

ACL 保護

  • ACL は、エッジ ルータを悪意のあるトラフィックから保護します。許可されたデバイスから送信されるルーティングおよび管理トラフィックなどの正規のトラフィックのみが、エッジ ルータの宛先アドレスへの送信を許可されます。
  • IP オプションの選択的廃棄:ほとんどのシスコのルータでは、IP オプションを含むパケットはソフトウェアでフィルタされ、スイッチングされます。これはオプションを処理して IP ヘッダーを書き換える必要があるためです。IP オプションを含む不正なパケットは、デバイスのパフォーマンスに悪影響を及ぼす可能性があるため、セキュリティの脅威になる可能性があります。シスコのルータは ACL IP オプションの選択的廃棄を使用して、IP オプションを含むパケットを廃棄または IP オプションの処理を無視することにより、これらのパケットをフィルタするか、IP オプションのルータ上での影響を緩和します。

ACL IP オプションの選択的廃棄の詳細については、次を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120limit/120s/120s23/sel_drop.htm [英語]

セキュア アクセス モード(サイレント モード)

システムをハッキングするための要件として、ネットワークに関する情報を得るための偵察行為が挙げられます。ハッカーは、パケットの配信状態などのシステム メッセージを傍受することで偵察を行い、情報(デバイスの IP アドレスなど)を取得します。

セキュア アクセス モード(サイレント モードとも呼ばれる)は Cisco IOS ソフトウェアの新機能で、ハッカーが収集できるネットワークに関する情報の量を少なくします。セキュア アクセス モードは、ルータが特定の情報パケットを生成できないようにします。たとえば、ルータによって生成されるインターネット制御(ICMP)メッセージおよび SNMP トラップを抑止します。コントロール プレーン ポリシングと同様、セキュア アクセス モードでは馴染みのある MQC(Modular QoS CLI)インターフェイスを利用します。

セキュア アクセス モードの詳細については、次を参照してください。

https://www.cisco.com/en/US/products/ps6540/prod_bulletin09186a00801d7229.html#wp1002091 [英語]

Raw IP トラフィック エクスポート

ネットワーク トラフィックの詳細なセキュリティ分析を行うために、多くのネットワーク管理者は、プロトコル アナライザや軽減対策サーバなどのツールを接続する必要があります。ただし、このようなツールをルータに接続するためには、現行ではインラインで挿入しなければならず、運用上困難です。

Raw IP トラフィック エクスポート機能は軽量の Cisco IOS ソフトウェア機能で、IP パケットがネットワーキング デバイスに到達したとき、またはネットワーク デバイスから発信されたときに、それらをエクスポートします。キャプチャされた IP パケットは、指定された LAN インターフェイスによってデバイスからエクスポートされます。これは、Raw IP パケットを元の形のままで指定のデバイス(パケット アナライザまたは IDS デバイス)にエクスポートするためです。

Raw IP トラフィック エクスポートには次の機能があります。

  • フィルタ機能(ACL を使用)により、必要なトラフィックのみを重点的にエクスポート可能
  • サンプリング オプションによりトラフィックの出力量を低減
  • ユーザは、IP アドレスではなく宛先ホストに関連付けられた MAC、802.1q、またはスイッチ間リンク(ISL)アドレスを使用して、エクスポート用のイーサネット ポートを指定可能
  • 機能が有効化または無効化されたときに Syslog 情報を提供

Raw IP トラフィック エクスポートの詳細については、次を参照してください。

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_rawip.html [英語]

発信元ベースの Remote-Triggered Black Holing (RTBH)フィルタリング

組織が(たとえば NetFlow データの分析によって)攻撃の発信元を把握している場合、ACL などの封じ込めメカニズムを適用できます。攻撃トラフィックを検出して分類すれば、必要なルータに適切な ACL を作成して展開できます。ただ、この手動プロセスは時間がかかるうえ複雑なため、多くのユーザは Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)を使用して廃棄情報をすべてのルータに迅速かつ効率的に伝達します。この手法は Remotely Triggered Blackhole(RTBH)と呼ばれ、攻撃を受ける側のネクスト ホップの IP アドレスをヌル インターフェイスに設定します。攻撃を受ける側を宛先とするこのトラフィックは、ネットワークに進入すると廃棄されます。

別のオプションは、特定の発信元からのトラフィックの廃棄です。この手法は上述の廃棄と似ていますが、パケットの発信元が無効(invalid)の場合(無効には null0 へのルートを含む)、パケットを廃棄するための既存の Unicast Reverse Path Forwarding(URPF)の展開を必要とします。宛先に基づいた廃棄と同じメカニズムを使用して、BGP アップデートが送信され、このアップデートが特定の発信元のネクスト ホップを null0 に設定します。これにより、URPF がイネーブルにされたインターフェイスに進入するすべてのトラフィックは、その発信元から廃棄されます。拡張性はありますが、BGP によってトリガされる廃棄は、攻撃に対応するときに利用できる細分レベルが制限され、上述したように、ブラックホール宛てまたは発信元のすべてのトラフィックを廃棄します。多くの場合、この対応は大規模な攻撃に対して有効であり、付随的損害を確実に軽減します(図 6 参照)。

発信元ベースの RTBH フィルタリングの詳細については、次を参照してください。

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd80313fac.pdf [英語]

図 6 DDoS 攻撃に対する、発信元ベースの RTBH フィルタリングを使用したリアルタイム ワイヤ レート防御

図 6 DDoS 攻撃に対する、発信元ベースの RTBH フィルタリングを使用したリアルタイム ワイヤ レート防御


Unicast Reverse Path Forwarding(URPF)

URPF は企業ネットワーク上の悪意のあるトラフィックを制限します。URPF により、ルータは転送されるパケットの送信元アドレスの到達可能性を検証することができます。この機能により、ネットワーク上の偽装アドレスの出現を制限することができます。送信元 IP アドレスが有効でない場合、そのパケットは廃棄されます。Cisco 1900、2900、3900 シリーズ サービス統合型ルータは、ストリクト モードとルーズ モードをサポートしています。

管理者がストリクト モードで URPF を使用する場合、パケットを受信するインターフェイスとルータが返信パケットの転送に使用するインターフェイスが、同じである必要があります。ストリクト モードで構成された URPF では、ルータが返信トラフィックの送信に選択しなかったインターフェイスで正規のトラフィックを受信した場合、廃棄される可能性があります。この正規のトラフィックの廃棄は、ネットワークに非対称のルーティング経路があるときに発生することがあります。

管理者がルーズ モードで URPF を使用する場合、送信元アドレスがルーティング テーブルに登録されている必要があります。管理者は、送信元検証プロセスでデフォルト経路の使用を許可するデフォルト許可オプションを使い、この動作を変更できます。また、返信経路が null0 インターフェイスを宛先としている送信元アドレスを含むパケットは廃棄されます。URPF ルーズ モードでは、特定の送信元アドレスを許可または拒否するアクセス リストを指定することができます。

URPF の詳細については、次を参照してください。http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfrpf.html [英語]

http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/sec_cfg_unicast_rpf.html [英語]

http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/sec_urpf_mib.html [英語]

デジタル イメージ署名

これは、デジタル署名をつけることによってソフトウェア イメージの真正性を確立する方法です。SHA-512 アルゴリズムによって、ソフトウェア イメージに対し固有の 64 バイト ハッシュが算出されます。このハッシュが RSA 2048 ビット秘密鍵を使用して暗号化され、作成されたデジタル署名がソフトウェア イメージに付けられます。

ソフトウェア イメージの読み込みプロセス中に、ルータはイメージに埋め込まれたハッシュを公開鍵を使用して復号化し、そのイメージが本物であるかどうか検証します。1 ビットでもイメージが変更されている場合、そのイメージは拒否され、デバイスを保護することができます。

デジタル イメージ署名の詳細については、次を参照してください。http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/sec_ips5_sig_fs_ue.html [英語]

Cisco IOS ソフトウェア ログイン拡張機能

Cisco IOS ソフトウェアは、ネットワーキング デバイスへのアクセスを制御するために、デバイスへのログインの際にユーザにユーザ名とパスワードを要求します。しかしながら、ハッカーは辞書攻撃によってこの要件を悪用します。この攻撃では、ハッカーはユーザ名とパスワードのあらゆる組み合わせをプログラムによって試すことで、デバイスへのアクセス権を取得します。

Cisco IOS ソフトウェア ログイン拡張機能には、ユーザ ログインに時間を基準とする機能が付加されました。ネットワーク管理者はこの機能を利用して、再試行の間隔を指定し、辞書攻撃を解消できます。ユーザ アカウントのロックアウトには、ユーザがデバイスにログオンするまでに許可される時間を含めることができるようになりました。

Cisco IOS ソフトウェア ログイン拡張機能の詳細については、次を参照してください。http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_login.html [英語]

ロールベース CLI アクセス

ロールベース CLI アクセスを使い、ネットワーク管理者は Cisco IOS ソフトウェアへの選択的または部分的アクセスを提供する一連の操作コマンドおよび設定機能である「ビュー」を定義することができます。ビューでは、Cisco IOS ソフトウェア CLI および設定情報へのユーザ アクセスを制限し、許可するコマンドおよび表示する設定情報を定義できます。ロールベース CLI アクセスのアプリケーションには、セキュリティ担当者に特定の機能に対するアクセスを提供するネットワーク管理者が含まれます。また、サービス プロバイダーはこの機能を使って、エンド ユーザに限定的なアクセスを認め、ネットワークのトラブルシューティングを支援することができます。

ロールベース CLI アクセスの詳細については、次を参照してください。

http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_role_base_cli.html [英語]

SSHv2

Secure Shell(SSH)プロトコル バージョン 2 は、強力で新しい認証および暗号化機能を提供します。ファイルコピーや電子メール プロトコルなど、暗号化された接続を介したトンネリングに対応するトラフィックの種類が追加され、より多くのオプションが使用できるようになりました。デジタル証明書やより多くの 2 ファクタ認証オプションなど、さらに幅広い認証機能によってネットワーク セキュリティを強化します。

SSH の詳細については、次を参照してください。

http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_cfg_secure_shell_ps6441_TSD_Products_Configuration_Guide_Chapter.html [英語]

SNMPv3

SNMPv3 は、ネットワーク管理用の相互運用可能な標準ベースのプロトコルで、ネットワーク上のパケットの認証と暗号化によって、デバイスへのセキュアなアクセスを提供します。SNMPv3 が提供するセキュリティ機能には次のようなものがあります。

  • メッセージの完全性:伝送中にパケットが改ざんされないようにします。
  • 認証:メッセージが有効な送信元からのものかどうかを判断します。
  • 暗号化:パケットの内容をスクランブルして、未許可の送信元によって閲覧できないようにします。

SNMPv3 は、セキュリティ モデルとセキュリティ レベルの両方に対応します。セキュリティ モデルとは、ユーザとそのユーザが属しているグループに対して設定される認証ストラテジです。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせによって、SNMP パケットを処理するときにどのセキュリティ メカニズムを使用するかが決まります。セキュリティ モデルには、SNMPv1、SNMPv2c、SNMPv3 の 3 種類があります。

SNMPv3 の詳細については、次を参照してください。

http://www.cisco.com/en/US/docs/ios/12_4t/12_4t2/snmpv3ae.html [英語]

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_ipsec_snmp_supp.html [英語]

http://www.cisco.com/en/US/docs/ios/12_0t/12_0t3/feature/guide/Snmp3.html [英語]

まとめ


シスコのセキュリティ ルータは、リモート オフィス、テレワーカー、モバイル ユーザを保護する多くのセキュリティ テクノロジーを提供します。これらには、プライバシーとデータ整合性を提供するサイト間およびリモート アクセス VPN テクノロジー、境界セキュリティ、侵入防御およびゼロデイ保護機能、信頼性とアイデンティティ保護機能、そして基盤セキュリティ機能などがあります。それぞれが、ルータのセキュリティ導入にかかるコスト増加に見合う機能を提供します。また、シスコのセキュリティ ルータの導入と管理の容易さによって総所有コストを確実に抑え、このソリューションが時間の経過とともに大きな価値をもたらすことは確実です。