ID 認証ファイアウォールポリシーの概要
従来のファイアウォールポリシーでは、送信元と宛先の IP アドレス、ポート、およびサービスに基づいて決定が行われます。ASA におけるアイデンティティ ファイアウォールは、以下のいずれか、または両方に基づいたより細かな制御を実現します。
-
ユーザー ID:送信元 IP アドレス単独ではなくユーザー名とユーザーグループ名に基づいてアクセスルールとセキュリティポリシーを設定できます。ASA は、IP アドレスと Windows Active Directory のログイン情報の関連付けに基づいてセキュリティポリシーを適用し、ネットワーク IP アドレスではなくマッピングされたユーザー名に基づいてイベントを報告します。
アイデンティティ ファイアウォールは、実際のアイデンティティマッピングを提供する外部 Active Directory(AD)エージェントと連携する Microsoft Active Directory と統合されます。ASA では、特定の IP アドレスに対する現在のユーザーのアイデンティティ情報を取得する情報元として Windows Active Directory を使用し、Active Directory ユーザーのトランスペアレント認証を実現します。AD エージェントのセットアップおよび設定の詳細については、Cisco.com(http://www.cisco.com/en/US/products/ps6120/prod_installation_guides_list.html)のActive Directory エージェントインストール/セットアップガイド [英語] を参照してください。
-
FQDN ネットワークオブジェクト:ホストの IP アドレスではなく、完全修飾ドメイン名(FQDN)をルールで使用できるため、ホストのアドレスが変更された場合(DHCP を介してアドレスを取得する場合など)、ルールは引き続き適用されます。
アイデンティティに基づくファイアウォールサービスは、送信元または宛先 IP アドレスの代わりに、送信元および FQDN としてユーザーまたはグループを指定できるようにすることで、既存のアクセス制御メカニズムとセキュリティポリシー メカニズムを強化します。アイデンティティに基づくセキュリティ ポリシーは、従来の IP アドレス ベースのルール間の制約を受けることなくインターリーブできます。
アイデンティティ ファイアウォールの主な利点には、次のようなものがあります。
-
セキュリティ ポリシーからのネットワーク トポロジの分離。ユーザーが接続するネットワークの場所に関係なく、ルールがユーザーに適用されます。
-
セキュリティポリシー作成の簡略化。
-
ネットワークリソースに対するユーザーアクティビティを容易に検出可能。
-
ユーザー アクティビティ モニタリングの簡略化。
ここでは、次の内容について説明します。
ユーザー ID の取得
ファイアウォールポリシーで Active Directory ユーザ名またはユーザグループ名を指定する場合、ASA は最終的にその名前を IP アドレスにマッピングして、パケットを処理する必要があります。ASA はこの情報に次の 2 つのプライマリ ソースを使用します。
-
ユーザ グループ メンバーシップ:ルールでユーザグループを指定すると、ASA は設定された Active Directory(AD)サーバーに接続して、グループメンバーシップを取得します。
-
ユーザから IP アドレスへのマッピング:標準(VPN 以外)ネットワーク上のネットワーク ドメインにログインするユーザに対して、AD エージェントは、AD サーバーとの通信で、ログイン情報を取得し、ユーザから IP アドレスへのマッピングテーブルを作成します。この情報は ASA に提供されます。
ユーザベースのアイデンティティ ファイアウォール ポリシーを構成する前に、必要な AD サーバーとエージェントをインストールして構成する必要があります。さまざまな導入シナリオの説明については、http://www.cisco.com/en/US/products/ps6120/products_installation_and_configuration_guides_list.htmlにある ASDM または CLI の ASA コンフィギュレーション ガイドを参照してください。
ユーザ名は、次のタイプのトラフィックに対して取得され、特に記載がない限り、AD ドメインが含まれます。
-
標準トラフィック。
-
IPsec IKEv1 および IKEv2、セキュアクライアント、および L2TP VPN を含むリモートアクセス VPN。VPN に LDAP 認証を使用し、VPN とアイデンティティ ファイアウォールのドメインに同じサーバーグループを使用する場合、ユーザは認証に使用されるドメインに関連付けられます。他のすべての承認メカニズムでは、VPN を介して取得されたユーザは、ローカルドメインに存在すると見なされます。ASA は、これらのユーザを AD エージェントに報告します。AD エージェントは、AD エージェントに登録されている他の ASA またはクライアントにそれらのユーザを配布します。
(注) |
クライアントレス SSL VPN では、ユーザ名は取得されません。 |
-
IPv4 カットスループロキシ。IPv6カットスループロキシの場合、ユーザ名は取得されません。認証時にユーザ名にドメイン名が含まれている場合、そのユーザはドメイン名に関連付けられます。それ以外の場合、ドメインは、アイデンティティ オプション ポリシーで設定されているデフォルト メインとなります。カットスルー プロキシの設定 を参照してください。
ID 認証ファイアウォール ポリシーの要件
ID 認識ファイアウォールポリシーは、すべてのタイプのデバイスおよびオペレーティングシステムでサポートされているわけではありません。次の表では、これらのタイプのポリシーをネットワークに実装するための要件と、いくつかの制限について説明します。
要件 |
説明 |
||
---|---|---|---|
ファイアウォールデバイス |
ASA ソフトウェアバージョン 8.4(2) 以降を実行しているが、8.5(1) を実行している ASA-SM を含まない ASA。単一または複数のコンテキスト構成。
1 つの Active Directory エージェントに最大 100 の ASA を登録できます。 |
||
Active Directory(AD) |
ユーザーとユーザーグループを定義するには、Active Directory を使用する必要があります。ASA は、LDAP プロトコルを実行する AD サーバーから直接ユーザーグループ情報を取得します。他のタイプの LDAP サーバーは使用できません。 サポートされる AD サーバーのタイプと、その設定要件の詳細については、Cisco.com(https://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-guides-list.html)のActive Directory エージェントのインストールおよびセットアップガイド [英語] を参照してください。
|
||
AD エージェント |
ASA と AD サーバー間の仲介として機能するように、オフボックス AD エージェントを設定する必要があります。AD エージェントは、ユーザーと IP アドレスのアクティブなマッピングを保持します。 デフォルトでは、5505 を除き、ASA はブート時またはリロード時にこのリストを取得し、AD エージェントは収集された新しいマッピングを送信します。5505 はアイデンティティ基準を含むトラフィック一致ルールに対応し、必要に応じて AD エージェントを照会します。これはアイデンティティ オプション ポリシーを使用して変更できますが、このデフォルトの動作を使用することをお勧めします。 AD エージェントは RADIUS プロトコルを使用します。 AD エージェントのセットアップおよび設定の詳細については、Cisco.com(http://www.cisco.com/en/US/products/ps6120/prod_installation_guides_list.html)のActive Directory エージェントインストール/セットアップガイド [英語] を参照してください。 |
||
クライアント システム |
デバイスを介してトラフィックを渡すユーザーは、次のクライアント プラットフォームのいずれかを使用する必要があります。
|
||
IPv6 |
IPv6 は、次の例外を除いてサポートされています。
これらの一時アドレスの使用を無効にするためのオプションが 2 つあります。
netsh interface ipv6 set privacy state=disable netsh interface ipv6 set global randomizeidentifiers=disabled |
||
NetBIOS ログアウト プローブ (オプション) |
NetBIOS ログアウト プローブをイネーブルにすると、ASA は NetBIOS を使用して、非アクティブ ユーザをデータベースから削除できるように、このユーザをログオフするかどうか判断できます。プローブは、UDP でカプセル化された NetBIOS トラフィックを使用します。したがって、アクセスルールが、ASA、AD エージェント、およびユーザーワークステーション間のネットワーク上で次のトラフィックを確実に許可するようにする必要があります。
さらに、NetBIOS 応答パケットにユーザ名が提供されるよう、ワークステーションを設定する必要があります。Windows ワークステーションの場合、メッセンジャーサービスを有効にして WINS を構成する必要があります。メッセンジャーサービスがオンになっていない場合、ユーザーがログオンしていてもログオンしていなくても、ワークステーションからの応答は同じです。 ヒント
|
||
DNS の設定 (完全修飾ドメイン名の使用に必要) |
Fully-Qualified Domain Name(FQDN; 完全修飾ドメイン名)のネットワーク/ホスト オブジェクトをファイアウォール ルールに使用する場合は、ドメイン ネーム システム(DNS)を [DNS] ページの説明のように設定する必要があります。これらの設定により、名前を検索して関連する IP アドレスを判別するために使用される DNS サーバーが識別されます。最終的には、すべての処理がこの IP アドレスに基づいて行われます。 FQDN を使用するように DNS を設定する場合は、次の点を考慮してください。
ルールにすべてのバージョンの FQDN ホスト名を指定しなくても済むような、別の方法を検討してください。複数の名前が常に同じホストを指していることがわかっている場合は、最も一般的に使用される名前に対してルールを設定して、その名前のすべての同義語にルールが適用されるようにすることができます。 |
||
上限 |
ユーザー、ユーザーグループ、およびユーザーあたりの IP アドレスの数には制限があります。これらの制限を超えると、追加のトラフィックに対して ID 認識処理が実行されません。
|
ID 認証サービスを提供するためのファイアウォールの設定
ID 認証ファイアウォールサービスをネットワークに提供するには、複数のポリシーを設定して、ファイアウォールでユーザーベースまたは完全修飾ドメイン名(FQDN)ベースのルールを処理できるようにする必要があります。ASA は、ネットワーク内の他のサーバーに依存して、ID 認証ポリシーを実装するために必要なユーザー、ユーザーグループ、および FQDN 名前解決サービスを提供します。
必要な構成は、使用する ID 認証の側面によって異なります。
-
ユーザー、ユーザーグループの解決:ファイアウォールルールでアイデンティティ ユーザー グループ オブジェクトを使用するには、いくつかのオブジェクトとポリシーを設定して、ユーザーとユーザーグループの情報を提供する Active Directory サーバーを識別する必要があります。
-
FQDN 解決:ファイアウォールルールで FQDN ネットワーク/ホストオブジェクトを使用するには、FQDN を IP アドレスに解決するように DNS サーバーを設定する必要があります。
この手順では、ID 認証ポリシーを実装するプロセス全体について説明します。
はじめる前に
ご使用のネットワークが、ID 認証ファイアウォール ポリシーの要件に説明がある要件に適合している必要があります。次の手順では、すでに Active Directory(AD)を使用しており、AD エージェントをインストールして設定し、これらのサービスが正しく動作していることを前提としています。
手順
ステップ 1 |
AD ユーザーとユーザーグループの解決を有効にします。
|
ステップ 2 |
FQDN ネットワーク/ホストオブジェクトの解決を有効にします。
|
ステップ 3 |
FQDN オブジェクト、ユーザ名、ユーザ グループ名、またはアイデンティティ ユーザ グループ オブジェクトを使用するファイアウォール ルールを設定します。アイデンティティ ベースのファイアウォール ルールの設定を参照してください。 |
ステップ 4 |
アイデンティティ ファイアウォール システムを監視します。アイデンティティ ファイアウォール ポリシーの監視 を参照してください。 |