GTP インスペクション ポリシー マップの設定
GTP トラフィックに追加のパラメーターを適用する必要があり、デフォルト マップがニーズを満たさない場合は、GTP マップを作成して設定します。
はじめる前に
一部のトラフィック照合オプションでは、照合のために正規表現を使用します。これらのテクニックのいずれかを使用する場合は、最初に正規表現または正規表現のクラス マップを作成します。
手順
ステップ 1 [Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [GTP] の順に選択します。
ステップ 2 次のどちらかを実行します。
• [Add] をクリックして、新しいマップを追加します。
• 内容を表示するマップを選択します。マップを編集するには、[Customize] をクリックします。残りの手順は、マップをカスタマイズするか追加することが前提になります。
ステップ 3 新しいマップの場合、名前(最大 40 文字)と説明を入力します。マップの編集時には、説明のみを変更できます。
ステップ 4 [GTP Inspect Map] ダイアログ ボックスの [Security Level] ビューで、マップの現在の設定を確認します。
このビューはマップがデフォルト値を使用しているのか、またはカスタマイズされているのかを示します。設定をさらにカスタマイズする必要がある場合は、[Details] をクリックし、手順を続けます。
ヒント [IMSI Prefix Filtering] ボタンは、IMSI プレフィックス フィルタリングを設定するためのショートカットです。これについては後で説明します。
ステップ 5 [Permit Parameters] タブをクリックして必要なオプションを設定します。
• [Permit Response]:ASA が GTP インスペクションを実行する場合、デフォルトで ASA は、GTP 要求で指定されていない GSN からの GTP 応答をドロップします。これは、GSN のプール間でロードバランシングを使用して、GPRS の効率とスケーラビリティを高めているときに発生します。
GSN プーリングを設定してロード バランシングをサポートするには、GSN を指定するオブジェクト グループを作成し、これを「 From Object Group 」として選択します。同様に、SGSN のネットワーク オブジェクト グループを作成し、これを「 To Object Group 」として選択します。GSN 応答が、GTP 要求を送信した GSN と同じオブジェクト グループに属し、SGSN が、応答する GSN が GTP 応答の送信を許可されているオブジェクト グループに属している場合、ASA は応答を許可します。
ネットワーク オブジェクト グループは、GSN または SGSN をホスト アドレスまたは GSN や SGSN を含むサブネットから識別できます。
• [Permit Errors]:無効なパケットやインスペクション時にエラーが見つかったパケットを、ドロップしないでASA から送信することを許可するかどうかを設定します。
ステップ 6 [General Parameters] タブをクリックし、必要なオプションを設定します。
• [Maximum Number of Requests]:応答待ちでキューに格納される GTP 要求の最大数を設定します。
• [Maximum Number of Tunnels]:許可されるトンネルの最大数を設定します。
• [Enforce Timeout] :次の動作のアイドル タイムアウトを実行するかどうかを設定します。タイムアウトは hh: mm: ss 形式です。
– [GSN]:GSN が削除されるまでの非アクティブ時間の最大値です。
– [PDP-Context]:GTP セッションの PDP コンテキストを受け取るまでの非アクティブ時間の最大値です。
– [Request]:GTP セッション時に GTP メッセージを受け取るまでの非アクティブ時間の最大値です。
– [Signaling]:GTP シグナリングが削除されるまでの非アクティブ時間の最大値です。
– [T3-Response timeout]:接続を削除するまでの、応答待ち時間の最大値です。
– [Tunnel]:GTP トンネルの非アクティブ時間の最大値です。
ステップ 7 必要に応じて[IMSI Prefix Filtering]タブをクリックして、IMSI プレフィックス フィルタリングを設定します。
デフォルトでは、セキュリティ アプライアンスは、有効なモバイル カントリ コード(MCC)とモバイル ネットワーク コード(MNC)の組み合わせをチェックしません。IMSI プレフィックス フィルタリングを設定すると、受信パケットの IMSI の MCC と MNC が設定された MCC と MNC の組み合わせと比較され、一致しないものはドロップされます。
モバイル カントリ コードは 0 以外の 3 桁の数字です。1 桁または 2 桁の値にはプレフィックスとして 0 を追加します。モバイル ネットワーク コードは 2 桁または 3 桁の数字です。
許可されるすべての MCC と MNC の組み合わせを追加します。デフォルトでは、ASA は MNC と MCC の組み合わせが有効であるかどうかをチェックしないため、設定した組み合わせが有効であるかどうかを確認する必要があります。MCC および MNC コードの詳細については、ITU E.212 勧告『 Identification Plan for Land Mobile Stations 』を参照してください。
ステップ 8 [Inspections] タブをクリックして、トラフィックの特性に基づいて実装する特定のインスペクションを定義します。
a. 次のいずれかを実行します。
• [Add] をクリックして、新しい基準を追加します。
• 既存の基準を選択し、[Edit] をクリックします。
b. 基準の一致タイプとして [Match](トラフィックは基準に一致する必要がある)または [No Match](トラフィックは基準とは異なっている必要がある)を選択します。次に、基準を設定します。
• [Access Point Name]:アクセス ポイント名を、指定された正規表現または正規表現クラスに対して照合します。デフォルトでは、有効なアクセス ポイント名を持つすべてのメッセージが検査され、どの名前でも許可されます。
• [Message ID]:メッセージ ID(1 ~ 255)を照合します。1 つの値または値の範囲を指定できます。デフォルトでは、すべての有効なメッセージ ID が許可されます。
• [Message Length]:UDP ペイロードの長さが指定した最小値と最大値の間にあるメッセージを照合します。
• [Version]:GTP バージョン(0 ~ 255)を照合します。1 つの値または値の範囲を指定できます。GTP のバージョン 0 はポート 3386 を使用し、バージョン 1 はポート 2123 を使用します。デフォルトでは、すべての GTP バージョンが許可されます。
c. メッセージ ID の照合には、パケットをドロップするかパケット/秒のレート制限を適用するかのいずれかを選択します。他のすべての照合のアクションは、パケットをドロップします。すべての照合に対してロギングをイネーブルにするかどうかを選択できます。
d. [OK] をクリックしてインスペクションを追加します。必要に応じてこのプロセスを繰り返します。
ステップ 9 [GTP Inspect Map] ダイアログ ボックスの [OK] をクリックします。
これで、このインスペクション マップを GTP インスペクション サービス ポリシーで使用できるようになります。
GTP インスペクションのサービス ポリシーの設定
GTP インスペクションは、デフォルトのインスペクション ポリシーでイネーブルになっていないため、このインスペクションが必要な場合はイネーブルにする必要があります。デフォルトのグローバル インスペクション ポリシーを編集するだけで、GTP インスペクションを追加できます。インターフェイス固有のポリシーなど、必要に応じて新しいサービス ポリシーを作成することもできます。
手順
ステップ 1
[Configuration] > [Firewall] >
[Service Policy] の順に選択し、ルールを開きます。
• デフォルトのグローバル ポリシーを編集するには、[Global] フォルダの「inspection_default」ルールを選択し、[Edit] をクリックします。
• 新しいルールを作成するには、[Add] > [Add Service Policy Rule] をクリックします。「通過トラフィックのサービス ポリシー ルールの追加」に従って、ウィザードを使って [Rules] ページに進みます。
• GTP インスペクション ルール、つまり GTP インスペクションを追加しているルールがある場合は、そのルールを選択し、[Edit] をクリックします。
ステップ 2 [Rule Actions] ウィザード ページまたはタブで、[Protocol Inspection] タブを選択します。
ステップ 3 (使用中のポリシーを変更する場合)使用中のポリシーを編集して別のインスペクション ポリシー マップを使用する場合は、GTP インスペクションをディセーブルにしてから、新しいインスペクション ポリシー マップ名で再度イネーブルにする必要があります。
a. [GTP] チェックボックスをオフにします。
b. [OK] をクリックします。
c. [Apply] をクリックします。
d. この手順を繰り返して [Protocol Inspections] タブに戻ります。
ステップ 4 [GTP] を選択します。
ステップ 5 デフォルト以外のインスペクションが必要な場合は、[Configure] をクリックし、次の操作を実行します。
a. デフォルト マップを使用するか、設定した GTP インスペクション ポリシー マップを使用するかを選択します。この時点でマップを作成できます。詳細については、「GTP インスペクション ポリシー マップの設定」を参照してください。
b. [Select GTP Inspect Map] ダイアログ ボックスの [OK] をクリックします。
ステップ 6 [OK] または [Finish] をクリックしてサービス ポリシー ルールを保存します。