この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco 819 サービス統合型ルータ(ISR)で設定可能な特定のセキュリティ機能を実装するための、シスコの主要なフレームワークである認証、許可、アカウンティング(AAA)の概要について説明します。
AAA のネットワーク セキュリティ サービスは、ルータ上でアクセス コントロールを設定する主要なフレームワークを提供します。認証は、ログインおよびパスワード ダイアログ、確認要求および応答、メッセージングのサポート、暗号化(選択するセキュリティ プロトコルに応じて)など、ユーザを識別するための方法を提供します。許可は、1 回限りの許可や各サービスに対する許可、各ユーザに対するアカウント リストおよびプロファイル、ユーザ グループのサポート、IP、インターネットワーク パケット交換(IPX)、AppleTalk リモート アクセス(ARA)、および Telnet のサポートなど、リモート アクセスをコントロールするための方法を提供します。アカウンティングで、ユーザ識別、開始時刻と終了時刻、実行コマンド(PPP など)、パケット数、バイト数などといったセキュリティ サーバ情報の収集と送信を行い、課金、監査、およびレポートに使用する手段を提供します。
AAA は RADIUS、TACACS+、または Kerberos などのプロトコルを使用してセキュリティ機能を管理します。ルータがネットワーク アクセス サーバとして機能している場合、AAA は、ネットワーク アクセス サーバと RADIUS、TACACS+、または Kerberos セキュリティ サーバ間の通信を確立するための手段となります。
AAA サービスおよびサポートされているセキュリティ プロトコルの設定については、『 Securing User Services Configuration Guide Library, Cisco IOS Release 12.4T』を参照してください。
AutoSecure 機能は、ネットワーク攻撃に悪用される可能性のある一般的な IP サービスをディセーブルにし、攻撃を受けたときはネットワークの防御に役立つ IP サービスおよび機能をイネーブルにできます。この IP サービスは、1 つのコマンドですべてを同時にディセーブル/イネーブルにすることにより、ルータ上のセキュリティ設定を大幅に簡易化しています。AutoSecure 機能の詳細については、「 AutoSecure 」機能のマニュアルを参照してください。
アクセス リスト ACL は、送信元 IP アドレス、宛先 IP アドレス、またはプロトコルに基づいてインターフェイス上でネットワーク トラフィックの許可または拒否を行います。アクセス リストは、標準版または拡張版のどちらかに設定されます。標準アクセス リストは、指定された送信元からのパケットの通過を許可または拒否します。拡張アクセス リストでは、宛先および送信元の両方を指定できます。また、各プロトコルを指定して、通過を許可または拒否することができます。
アクセス リスト作成の詳細については、『Security Configuration Guide: Access Control Lists, Cisco IOS Release 12.4T』を参照してください。
アクセス リストは、一般的なタグによってコマンドがバインドされる一連のコマンドです。タグは、番号または名前のどちらかです。 表 9-1 は、アクセス リストの設定に使用するコマンドのリストです。
アクセス リストの作成、調整、および管理については、『Security Configuration Guide: Access Control Lists, Cisco IOS Release 12.4T』を参照してください。
アクセス グループとは、一般的な名前または番号にバインドされている一連のアクセス リストの定義のことです。アクセス グループは、インターフェイスを設定するときに、インターフェイスに対してイネーブルにされます。アクセス グループを作成する際には、次の点に注意します。
• アクセス リストの定義の順序は重要です。パケットは、最初のアクセス リストから順に照合されます。一致するものがない場合(つまり、許可または拒否が発生しない場合)は、パケットが次のアクセス リストに照合され、さらに次のアクセス リストへと順に進められます。
• パケットが許可または拒否される前に、すべてのパラメータがアクセス リストに一致する必要があります。
• すべてのシーケンスの末尾には、暗黙の「deny all」が付きます。
アクセス グループの設定および管理については、『Securing the Data Plane Configuration Guide Library, Cisco IOS Release 12.4』を参照してください。
Cisco IOS ファイアウォールでは、ステートフルなファイアウォールを設定できます。ステートフルなファイアウォールでは、パケットが内部的に検査され、ネットワーク接続の状態が監視されます。ステートフル ファイアウォールは、アクセス リストがパケットのストリームに基づくのではなく、個別のパケットに基づいてトラフィックを許可または拒否するだけなので、スタティックなアクセス リストよりも優れています。また、Cisco IOS ファイアウォールはパケットの検査を行うため、アプリケーション層のデータを調べてトラフィックの許可または拒否を判断できます。スタティックなアクセス リストでは、このような検査を行うことはできません。
Cisco IOS ファイアウォールを設定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用して、検証するプロトコルを指定します。
ip inspect name inspection-name protocol timeout seconds
指定したプロトコルがファイアウォールを通過していることがインスペクションで検出された場合、ダイナミック アクセス リストが作成され、リターン トラフィックの通過を許可します。timeout パラメータでは、ルータを通過する戻りトラフィックが存在しない場合にダイナミック アクセス リストをアクティブにしておく時間を指定します。タイムアウト値が指定値に達すると、ダイナミック アクセス リストが削除され、後続のパケット(有効なパケットの場合もある)が許可されなくなります。
複数のステートメントで同一のインスペクション名を使用して、1 つのルール セットにまとめてください。ファイアウォールにインターフェイスを設定するときに、 ip inspect inspection-name in | out コマンドを使用して、この規則セットを設定の別の場所でアクティブ化できます。
Cisco IOS ファイアウォールの設定に関する追加情報については、『Securing the Data Plane Configuration Guide Library, Cisco IOS Release 12.4』を参照してください。
また、Cisco IOS ファイアウォールは、セッション開始プロトコル(SIP)アプリケーションでの音声セキュリティを提供するようにも設定できます。SIP インスペクションは、プロトコルの適合性およびアプリケーションの保護に加え、基本的な検査機能(SIP パケット インスペクションおよびピンホール開口の検出)が提供されます。詳細については、『Cisco IOS Firewall: SIP Enhancements: ALG and AIC』を参照してください。
Cisco 819 ISR で利用可能な Cisco IOS Cisco IOS 侵入防御システム(IPS)テクノロジーは、セキュリティ ポリシーに違反したり、不正なネットワーク動作を示したりするパケットおよびフローに適切に対処することによって、境界部分のファイアウォール保護を強化します。
Cisco IOS IPS では、「シグネチャ」を使用して攻撃を識別し、ネットワーク トラフィック内における悪用パターンを検出します。Cisco IOS IPS は、インライン型の侵入検知装置として機能し、ルータを通過するパケットおよびセッションを監視して、既知の IPS シグニチャとの比較を行います。Cisco IOS IPS は、不審な動作を検出すると、ネットワーク セキュリティが破られる前に対処してイベントを記録します。また、設定に応じて、次のいずれかを行います。
• 攻撃者の発信元 IP アドレスからのトラフィックを一定時間拒否する
• シグニチャが見つかった接続のトラフィックを一定時間拒否する
Cisco IOS IPS の設定に関する追加情報については、『Securing the Data Plane Configuration Guide Library, Cisco IOS Release 12.4』を参照してください。
Cisco 819 ISR は URL フィルタリングに基づいたカテゴリが提供されます。ユーザは、許可または拒否する Web サイトのカテゴリを選択し、ISR 上で URL フィルタリングを準備します。サード パーティで管理されている外部サーバを使用して、それぞれのカテゴリの URL を調べます。ポリシーの許可および拒否は、ISR 上で保守されています。サービスは加入ベースで提供され、各カテゴリの URL はサードパーティ ベンダーによってメンテナンスされています。
URL フィルタリングの設定の詳細については、「Subscription-based Cisco IOS Content Filtering」を参照してください。
バーチャル プライベート ネットワーク(VPN)接続を使用すると、インターネットなどのパブリック ネットワーク上で 2 つのネットワーク間のセキュアな接続を実現できます。Cisco 819 ISR は、VPN のサイト間アクセスとリモート アクセスの 2 種類をサポートします。サイト間 VPN は、ブランチ オフィスとコーポレート オフィスを接続する場合などに使用します。リモート アクセス VPN は、企業ネットワークにログインする際にリモート クライアントによって使用されます。リモート アクセス VPN およびサイト間 VPN の両方についてこのセクションで 2 つの例を挙げて説明します。
• 「設定例」
• 「Cisco Easy VPN リモート コンフィギュレーションの作成」
リモート アクセス VPN コンフィギュレーションでは、Cisco Easy VPN および IP Security(IPSec)トンネルを使用して、リモート クライアントとコーポレート ネットワーク間の接続を設定および保護します。図 9-1 は、一般的な構成例を示します。
図 9-1 IPSec トンネルを使用したリモート アクセス VPN
|
|
|
|
|
|
|
VPN サーバ:Easy VPN サーバ(外部インターフェイス アドレスが 210.110.101.1 の Cisco VPN 3000 コンセントレータなど) |
|
|
|
Cisco Easy VPN クライアント機能は、Cisco Unity Client プロトコルを実装することにより、面倒な設定作業の大部分を排除します。このプロトコルでは、ほとんどの VPN パラメータ(内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、Windows インターネット ネーミング サービス(WINS)サーバ アドレス、スプリットトンネリング フラグなど)を、VPN サーバ(IPSec サーバとして機能している Cisco VPN 3000 コンセントレータなど)で定義できます。
Cisco Easy VPN サーバ対応のデバイスでは、PC 上で Cisco Easy VPM リモート ソフトウェアを実行しているモバイルおよびリモート作業者が開始した VPN トンネルを終了できます。Cisco Easy VPN サーバ対応のデバイスでは、リモート ルータを Cisco Easy VPN リモート ノードとして動作させることができます。
Cisco Easy VPN クライアント機能は、2 つのモード(クライアント モードまたはネットワーク拡張モード)のいずれかに設定できます。デフォルト設定はクライアント モードで、クライアント サイトの装置だけが中央サイトのリソースにアクセスできます。クライアント サイトのリソースは、中央サイトでは利用できません。ネットワーク拡張モードを使用すると、(VPN 3000 シリーズ コンセントレータが配置された)中央サイトのユーザがクライアント サイトのネットワーク リソースにアクセスできます。
IPSec サーバを設定したら、サポート対象の Cisco 819 ISR などの IPSec クライアント上で最小限の設定を行うことにより、VPN 接続を作成できます。IPSec クライアントが VPN トンネル接続を開始すると、IPSec サーバは IPSec ポリシーを IPSec クライアントに転送し、対応する VPN トンネル接続を作成します。
(注) Cisco Easy VPN クライアント機能に設定できるのは、1 つの宛先ピアだけです。アプリケーションで複数の VPN トンネルを作成する必要がある場合、手動でクライアントおよびサーバ側の両方に IPSec VPN およびネットワーク アドレス変換/ピア アドレス変換(NAT/PAT)パラメータを設定する必要があります。
Cisco 819 ISR は、Cisco Easy VPN サーバとして動作するように設定することもでき、この機能を使用すると、許可された Cisco Easy VPN クライアントは接続されたネットワークに対してダイナミックな VPN トンネルを確立できます。Cisco Easy VPN サーバの設定については、『 Easy VPN Server 』機能マニュアルを参照してください。
サイト間 VPN の設定では、IPSec および汎用ルーティング カプセル化(GRE)プロトコルを使用して、ブランチ オフィスとコーポレート ネットワーク間の接続を保護します。図 9-2 は、一般的な構成例を示します。
図 9-2 IPSec トンネルおよび GRE を使用したサイト間の VPN
|
|
|
ファスト イーサネット LAN インターフェイス(NAT 用の内部インターフェイス、アドレスは 192.165.0.0/16) |
|
|
|
|
|
|
|
|
|
|
|
|
|
IPSec および GRE の設定の詳細については、『Secure Connectivity Configuration Guide Library, Cisco IOS Release 12.4T』を参照してください。
各例では、「IPSec トンネル上での VPN の設定」の手順を使用して IPSec トンネル上に VPN を設定します。次に、リモート アクセス設定およびサイト間設定の具体的な手順を順番に説明します。
この章の設定例は、Cisco 819 ISR のエンドポイント設定にだけ適用されます。いずれの VPN 接続も、両端のエンドポイントが適切に機能するように設定されている必要があります。他のルータ モデルでの VPN 設定については、必要に応じてソフトウェア コンフィギュレーション マニュアルを参照してください。
VPN コンフィギュレーション情報は、両方のエンドポイントに設定する必要があります。設定する必要のあるパラメータは、内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、およびネットワーク アドレス変換(NAT)などです。
IPSec トンネル上に VPN を設定するには、次の作業を行います。
• 「次の作業」
インターネット キー交換(IKE)ポリシーを設定するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
1. crypto isakmp policy priority
2. encryption {des | 3des | aes | aes 192 | aes 256}
1. crypto isakmp client configuration group {group-name | default}
6. ip local pool {default | poolname } [ low-ip-address [ high-ip-address ]]
|
|
|
---|---|---|
crypto isakmp client configuration group { group-name | default } |
||
|
||
|
||
|
||
|
IKE グループ ポリシー コンフィギュレーション モードを終了します。続いて、グローバル コンフィギュレーション モードを開始します。 |
|
ip local pool { default | pool name} [low-ip-address {high-ip-address]] |
このコマンドの詳しい説明およびその他の設定可能なパラメータについては、『 Cisco IOS Dial Technologies Command Reference 』を参照してください。 |
1. crypto map map-name isakmp authorization list list-name
2. crypto map tag client configuration address [initiate | respond]
AAA 経由でポリシー ルックアップをイネーブルにするには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
2. aaa authentication login {default | list-name } method1 [ method2 ...]
3. aaa authorization {network | exec | commands level | reverse-access | configuration} {default | list-name } [ method1 [ method2 ...]]
4. username name {no password | password password | password encryption-type encrypted-password }
|
|
|
---|---|---|
|
||
aaa authentication login {default | list-name} method 1 [method2...] |
選択したユーザのログイン時の AAA 認証を指定し、使用する方式を指定します。 この例では、ローカル認証データベースを使用します。RADIUS サーバを使用することもできます。詳細については、『Securing User Services Configuration Guide Library, Cisco IOS Release 12.4T』および『 Cisco IOS Security Command Reference 』を参照してください。 |
|
aaa authorization {network | exec | commands level | reverse-access | configuration} {default | list-name} [method 1 [method2...] |
PPP を含むすべてのネットワーク関連サービス要求の AAA 許可を指定してから、さらに許可方式を指定します。 この例では、ローカル許可データベースを使用します。RADIUS サーバを使用することもできます。詳細については、『Securing User Services Configuration Guide Library, Cisco IOS Release 12.4T』および『 Cisco IOS Security Command Reference 』を参照してください。 |
|
username name {no password | password password | password encryption-type encrypted-password} |
トランスフォーム セットは、特定のセキュリティ プロトコルとアルゴリズムを組み合わせたものです。IKE のネゴシエーション中に、ピアは特定のトランスフォーム セットを使用してデータ フローを保護することに合意します。
IKE ネゴシエーションの実行時に、両ピアは、複数のトランスフォーム セットから両ピアに共通するトランスフォームを検索します。このようなトランスフォームが含まれているトランスフォーム セットが検出された場合は、両方のピアの設定の一部として選択され、保護対象トラフィックに適用されます。
IPSec トランスフォーム セットおよびプロトコルを指定するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
1. crypto ipsec profile profile-name
2. crypto ipsec transform-set transform-set-name transform1 [ transform2 ] [ transform3 ] [ transform4 ]
3. crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes }
|
|
|
---|---|---|
crypto ipsec profile profile-name |
||
crypto ipsec transform-set transform-set-name transform1 [transform2] [transform3] [transform4] |
トランスフォーム セット(IPSec セキュリティ プロトコルとアルゴリズムの有効な組み合わせ)を定義します。 有効なトランスフォームおよび組み合わせについては、『Secure Connectivity Configuration Guide Library, Cisco IOS Release 12.4T』を参照してください。 |
|
crypto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes} |
ダイナミック クリプト マップ ポリシーでは、ルータがすべてのクリプト マップ パラメータ(IP アドレスなど)を認識していない場合でも、リモート IPSec ピアからの新規の SA のネゴシエーション要求を処理します。
1. crypto dynamic-map dynamic-map-name dynamic-seq-num
2. set transform-set transform-set-name [ transform-set-name2...transform-set-name6 ]
5. crypto map map-name seq-num [ipsec-isakmp] [dynamic dynamic-map-name] [discover] [profile profile-name]
|
|
|
---|---|---|
crypto dynamic-map dynamic-map-name dynamic-seq-num |
ダイナミック クリプト マップ エントリを作成し、クリプト マップ コンフィギュレーション モードを開始します。 このコマンドの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。 |
|
set transform-set transform-set-name [transform-set-name2...transform-set-name6] |
||
|
クリプト マップ エントリの送信元プロキシ情報を作成します。 詳細については、『 Cisco IOS Security Command Reference 』を参照してください。 |
|
|
||
crypto map map-name seq-num [ipsec-isakmp] [dynamic dynamic-map-name] [discover] [profile profile-name] |
クリプト マップは、IPSec トラフィックが通過する各インターフェイスに適用されている必要があります。物理インターフェイスにクリプト マップを適用することにより、ルータがすべてのトラフィックを SA データベースに照合するようになります。デフォルト設定では、ルータはリモート サイト間に送信されるトラフィックを暗号化して、安全な接続を提供します。ただし、パブリック インターフェイスでは他のトラフィックの通過を許可し、インターネットへの接続を提供しています。
インターフェイスにクリプト マップを適用するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
|
|
|
---|---|---|
|
||
|
このコマンドの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。 |
|
|
Cisco Easy VPN リモート コンフィギュレーションを作成する場合は、「Cisco Easy VPN リモート コンフィギュレーションの作成」を参照してください。
IPSec トンネルおよび GRE を使用してサイト間 VPN を作成する場合は、「サイト間 GRE トンネルの設定」を参照してください。
Cisco Easy VPN クライアントとして機能するルータでは、Cisco Easy VPN リモートの設定を作成して、発信インターフェイスにこの設定を関連付ける必要があります。
リモート コンフィギュレーションを作成するには、グローバル コンフィギュレーション モードから始め、次の手順を実行します。
1. crypto ipsec client ezvpn name
2. group group-name key group-key
3. peer { ip address | hostname }
4. mode {client | network-extension | network extension plus}
6. crypto isakmp keepalive seconds
次の設定例は、この章で説明した VPN および IPSec トンネルのコンフィギュレーション ファイルの一部を示します。
3. tunnel source interface-type number
4. tunnel destination default-gateway-ip-address
7. ip access-list {standard | extended} access-list-name
8. permit protocol source source-wildcard destination destination-wildcard
次の設定例は、前述の各項で説明した GRE トンネルのシナリオを使用した VPN のコンフィギュレーション ファイルの一部です。