Cisco 900 シリーズ ISR ソフトウェア コンフィギュレーション ガイド

セキュリティ機能の設定

---

この章では、Cisco 900 シリーズ サービス統合型ルータ（ISR）でのセキュリティ機能の設定方法について説明します。この章の内容は、次のとおりです。

• SSL VPN の設定
• 認証、許可、アカウンティング
• AutoSecure の設定
• アクセス リストの設定
• Cisco IOS ファイアウォールの設定
• ゾーンベース ポリシー ファイアウォール
• Cisco IOS IPS の設定
• コンテンツのフィルタリング
• VPN の設定
• ダイナミック マルチポイント VPN の設定
• Group Encrypted Transport VPN の設定
• イーサネット タギングにおける SGT
• 暗号化エンジン スループット ポリシング

SSL VPN の設定

CISCO IOS ソフトウェアの Secure Socket Layer Virtual Private Network（SSL VPN; セキュア ソケット レイヤ バーチャル プライベート ネットワーク）機能（WebVPN とも呼ばれる）を使用すると、リモート ユーザは、どのような場所にいても、インターネット上からエンタープライズ ネットワークにアクセスできるようになります。リモート アクセスは、SSL 対応の SSL VPN ゲートウェイを介して提供されています。SSL VPN ゲートウェイによりリモート ユーザは、Web ブラウザを使用してセキュアな VPN トンネルを確立できます。この機能は、ネイティブ HTTP over SSL（HTTPS）ブラウザ サポートを使用して、幅広い Web リソースおよび Web 対応アプリケーションに簡単にアクセスできる包括的なソリューションを実現します。SSL VPN は、クライアントレス、シンクライアント、フル トンネル クライアント サポートの 3 種類の SSL VPN アクセス モードを提供します。

SSL VPN 設定の詳細については、次の URL で『 SSL VPN Configuration Guide, Cisco IOS Release 15M&T 』を参照してください。

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_sslvpn/configuration/15-mt/sec-conn-sslvpn-15-mt-book/sec-conn-sslvpn-ssl-vpn.html

認証、許可、アカウンティング

認証、許可、アカウンティング（AAA）ネットワーク セキュリティ サービスは、ルータにアクセス コントロールを設定するための主要なフレームワークを提供します。認証は、ログインおよびパスワード ダイアログ、確認要求および応答、メッセージングのサポート、暗号化（選択するセキュリティ プロトコルに応じて）など、ユーザを識別するための方法を提供します。許可は、1 回限りの許可や各サービスに対する許可、各ユーザに対するアカウント リストおよびプロファイル、ユーザ グループのサポート、IP、インターネットワーク パケット交換（IPX）、AppleTalk リモート アクセス（ARA）、および Telnet のサポートなど、リモート アクセスをコントロールするための方法を提供します。アカウンティングで、ユーザ識別、開始時刻と終了時刻、実行コマンド（PPP など）、パケット数、バイト数などといったセキュリティ サーバ情報の収集と送信を行い、課金、監査、およびレポートに使用する手段を提供します。

AAA では、Remote Authentication Dial-In User Service（RADIUS; リモート認証ダイヤルイン ユーザ サービス）、Terminal Access Controller Access Control System Plus（TACACS+; ターミナル アクセス コントローラ アクセス コントロール システム プラス）、または Kerberos などのプロトコルを使用してセキュリティ機能を管理します。ルータがネットワーク アクセス サーバとして機能している場合、AAA は、ネットワーク アクセス サーバと RADIUS、TACACS+、または Kerberos セキュリティ サーバ間の通信を確立するための手段となります。

AAA サービスおよびサポートされているセキュリティ プロトコル、認証、許可、アカウンティング、RADIUS、TACACS+、または Kerberos の設定については、次の URL で『 Cisco IOS Security Configuration Guide: Securing User Services 』を参照してください。

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/security/config_library/15-mt/secuser-15-mt-library.html

• 「Configuring Authentication」
• 「Configuring Authorization」
• 「Configuring Accounting」
• RADIUS の設定
• Configuring TACACS+
• Kerberos の設定

AutoSecure の設定

AutoSecure 機能は、ネットワーク攻撃に悪用される可能性のある一般的な IP サービスをディセーブルにし、攻撃を受けたときはネットワークの防御に役立つ IP サービスおよび機能をイネーブルにできます。この IP サービスは、1 つのコマンドですべてを同時にディセーブル/イネーブルにすることにより、ルータ上のセキュリティ設定を大幅に簡易化しています。AutoSecure 機能の詳細については、 https://www.cisco.com/c/en/us/td/docs/ios/sec_user_services/configuration/guide/convert/user_security/sec_autosecure.html にある機能ガイドを参照してください。

アクセス リストの設定

アクセス リストは、送信元 IP アドレス、宛先 IP アドレス、またはプロトコルに基づいてインターフェイス上のネットワーク トラフィックを許可または拒否します。アクセス リストは、標準版または拡張版のどちらかに設定されます。標準アクセス リストは、指定された送信元からのパケットの通過を許可または拒否します。拡張アクセス リストでは、宛先および送信元の両方を指定できます。また、各プロトコルを指定して、通過を許可または拒否することができます。

アクセス リスト作成の詳細については、次の URL で『 Security Configuration Guide: Access Control Lists, Cisco IOS Release 15M&T 』を参照してください。

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_acl/configuration/15-mt/sec-data-acl-15-mt-book.html

アクセス リストは、一般的なタグによってコマンドがバインドされる一連のコマンドです。タグは、番号または名前のどちらかです。 表 8-1 は、アクセス リストの設定に使用するコマンドのリストです。

Cisco IOS ファイアウォールの設定

Cisco IOS ファイアウォールでは、ステートフルなファイアウォールを設定できます。ステートフルなファイアウォールでは、パケットが内部的に検査され、ネットワーク接続の状態が監視されます。ステートフル ファイアウォールは、アクセス リストがパケットのストリームに基づくのではなく、個別のパケットに基づいてトラフィックを許可または拒否するだけなので、スタティックなアクセス リストよりも優れています。また、Cisco IOS ファイアウォールでは、パケットを検査するため、アプリケーション層のデータを検証してトラフィックの許可または拒否を決定できます。静的アクセス リストでは、これは検証不可能です。

Cisco IOS ファイアウォールを設定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用して、検証するプロトコルを指定します。

ip inspect name inspection-name protocol timeout seconds

指定したプロトコルがファイアウォールを通過していることがインスペクションで検出された場合、ダイナミック アクセス リストが作成され、リターン トラフィックの通過を許可します。timeout パラメータは、リターン トラフィックがルータを通過せずに、ダイナミック アクセス リストがアクティブの状態を保つ時間を指定します。タイムアウト値が指定値に達すると、ダイナミック アクセス リストが削除され、後続のパケット（有効なパケットの場合もある）が許可されなくなります。

複数のステートメントで同一のインスペクション名を使用して、1 つのルール セットにまとめてください。ファイアウォールにインターフェイスを設定するときに、 ip inspect inspection-name { in | out } コマンドを使用して、このルール セットを構成内の別の場所でアクティブ化できます。

Cisco IOS ファイアウォールの設定の詳細については、『 Security Configuration Guide: Zone-Based Policy Firewall, Cisco IOS Release 15M&T 』（ https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/15-mt/sec-data-zbf-15-mt-book/sec-zone-pol-fw.html ）を参照してください。

また、Cisco IOS ファイアウォールは、セッション開始プロトコル（SIP）アプリケーションでの音声セキュリティを提供するようにも設定できます。SIP インスペクションでは、基本的な検査機能（ピンホール開口部の SIP パケット インスペクションおよび検出）に加え、プロトコルの適合性やアプリケーション セキュリティを提供します。詳細については、『 Security Configuration Guide: Zone-Based Policy Firewall, Cisco IOS Release 15M&T 』（ https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/15-mt/sec-data-zbf-15-mt-book/fw-sip-alg-aic.html ）を参照してください。

ゾーンベース ポリシー ファイアウォール

Cisco IOS ゾーンベース ポリシー ファイアウォールを使用すると、インターフェイスを異なるゾーンに割り当て、ポリシーを設定することでセキュリティ ポリシーを展開し、これらのゾーン間を行き来するトラフィックを検査できるようになります。ポリシーでは、定義したトラフィック クラスに適用する一連のアクションを指定します。

ゾーンベース ポリシー ファイアウォール設定の詳細については、『 Security Configuration Guide: Zone-Based Policy Firewall, Cisco IOS Release 15M&T 』（ https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/15-mt/sec-data-zbf-15-mt-book/sec-zone-pol-fw.html ）を参照してください。

Cisco IOS IPS の設定

Cisco IOS Intrusion Prevention System（IPS; 侵入防御システム）テクノロジーは、セキュリティ ポリシーに違反したり悪意のあるネットワーク アクティビティを表すパケットおよびフローを適切に処理することで、境界ファイアウォール保護を強化します。

Cisco IOS IPS では、「シグネチャ」を使用して攻撃を特定し、ネットワーク トラフィック内における悪用パターンを検出します。Cisco IOS IPS は、インライン侵入検出センサーとして機能し、ルータを通過するパケットおよびセッションを監視して、現在アクティブな（ロードされている）アタック シグネチャのいずれかと一致するかどうかについてそれぞれをスキャンします。Cisco IOS IPS により不審なアクティビティが検出されると、ネットワーク セキュリティが損なわれる前に対応し、イベントを記録します。また、検出されたシグニチャに対して設定されたアクションに基づいて、次の操作を実行します。

• syslog フォーマットでアラームを送信する、または Secure Device Event Exchange（SDEE; セキュア デバイス イベント交換）フォーマットでアラームのログを取る
• 不審なパケットを廃棄する
• 接続を再設定する
• 攻撃者の発信元 IP アドレスからのトラフィックを一定時間拒否する
• シグニチャが見つかった接続のトラフィックを一定時間拒否する

Cisco IOS IPS 設定の詳細については、次のマニュアルの「 Cisco IOS IPS 5.x Signature Format Support and Usability Enhancements 」セクションを参照してください。

次の URL の『 Cisco IOS Intrusion Prevention System Configuration Guide, Cisco IOS Release 15MT 』：

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_ios_ips/configuration/15-mt/sec-data-ios-ips-15-mt-book/sec-ips5-sig-fs-ue.html

コンテンツのフィルタリング

Cisco 900 シリーズ ISR には、カテゴリに基づく URL フィルタリング機能があります。ユーザは、許可または拒否する Web サイトのカテゴリを選択し、ISR 上で URL フィルタリングを準備します。各カテゴリの URL のチェックには、サードパーティが保守する外部サーバが使用されています。ポリシーの許可および拒否は、ISR 上で保守されています。サービスは、加入ベースで提供され、各カテゴリの URL はサードパーティ ベンダーによってメンテナンスされています。

URL フィルタリングの設定に関する詳細情報については、『 Subscription-based Cisco IOS Content Filtering 』（ https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/15-mt/sec-data-zbf-15-mt-book/subscrip-cont-filter.html ）を参照してください。

VPN の設定

バーチャル プライベート ネットワーク（VPN）接続は、インターネットなどのパブリック ネットワークを介して、2 つのネットワーク間に安全な接続を提供します。Cisco 900 シリーズ ISR は、VPN のサイト間アクセスとリモート アクセスの 2 種類をサポートします。リモート アクセス VPN は、企業ネットワークにログインする際にリモート クライアントによって使用されます。サイト間 VPN は、たとえば、ブランチ オフィスと企業オフィスを接続する際に使用されます。この項では、それぞれの例を示します。

リモート アクセス VPN の例

リモート アクセス VPN コンフィギュレーションでは、Cisco Easy VPN および IP Security（IPSec）トンネルを使用して、リモート クライアントとコーポレート ネットワーク間の接続を設定および保護します。図 8-1 は、一般的な構成例を示します。

図 8-1 IPSec トンネルを使用したリモート アクセス VPN

Cisco Easy VPN クライアント機能は、Cisco Unity Client プロトコルを実装することにより、面倒な設定作業の大部分を排除します。このプロトコルでは、ほとんどの VPN パラメータ（内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、Windows インターネット ネーム サービス（WINS）サーバ アドレス、スプリットトンネリング フラグなど）を、VPN サーバに定義することできます。

Cisco Easy VPN サーバ対応のデバイスでは、PC 上で Cisco Easy VPM リモート ソフトウェアを実行しているモバイルおよびリモート作業者が開始した VPN トンネルを終了できます。Cisco Easy VPN サーバ対応のデバイスでは、リモート ルータを Cisco Easy VPN リモート ノードとして動作させることができます。

Cisco Easy VPN クライアント機能は、2 つのモード（クライアント モードまたはネットワーク拡張モード）のいずれかに設定できます。デフォルト設定はクライアント モードで、クライアント サイトの装置だけが中央サイトのリソースにアクセスできます。クライアント サイトのリソースは、中央サイトでは利用できません。ネットワーク拡張モードでは、VPN 終端装置が配置されている中央サイトのユーザは、クライアント サイトのネットワーク リソースにアクセスできます。

IPSec サーバの設定を完了すると、IPSec クライアント上で最小限の設定を行って VPN 接続を作成できます。IPSec クライアントが VPN トンネル接続を開始すると、IPSec サーバは IPSec ポリシーを IPSec クライアントに転送し、対応する VPN トンネル接続を作成します。

（注） Cisco Easy VPN クライアント機能に設定できるのは、1 つの宛先ピアだけです。アプリケーションで複数の VPN トンネルを作成する必要がある場合、手動でクライアントおよびサーバ側の両方に IPSec VPN およびネットワーク アドレス変換/ポート アドレス変換（NAT/PAT）パラメータを設定する必要があります。

Cisco 900 シリーズ ISR は、Cisco Easy VPN サーバとして動作するように設定することもでき、この機能を使用すると、許可された Cisco Easy VPN クライアントは、接続されたネットワークへのダイナミック VPN トンネルを確立できます。Cisco Easy VPN サーバの設定手順については、次の URL で Easy VPN サーバ 機能を参照してください。

https://www.cisco.com/c/en/us/td/docs/ios/sec_secure_connectivity/configuration/guide/convert/sec_easy_vpn_15_1_book.html

サイト間 VPN

サイト間 VPN の設定では、IPSec および汎用ルーティング カプセル化（GRE）プロトコルを使用して、ブランチ オフィスとコーポレート ネットワーク間の接続を保護します。図 8-2 は、一般的な構成例を示します。

図 8-2 IPSec トンネルおよび GRE を使用したサイト間の VPN

IPSec および GRE の設定の詳細については、次の URL で『 Security for VPNs with IPsec Configuration Guide, Cisco IOS Release 15M&T』の「 Configuring Security for VPNs with IPSec 」の章を参照してください。
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_vpnips/configuration/15-mt/sec-sec-for-vpns-w-ipsec-15-mt-book.html

ダイナミック マルチポイント VPN の設定

Dynamic Multipoint VPN（DMVPN; ダイナミック マルチポイント VPN）機能を使用すると、ユーザは、GRE トンネル、IPsec 暗号化、および Next Hop Resolution Protocol（NHRP; ネクスト ホップ レゾリューション プロトコル）を組み合わせて大規模および小規模な IP セキュリティ（IPsec）VPN を設定できるようになります。

DMVPN 設定の詳細については、次の URL で『 Dynamic Multipoint VPN Configuration Guide, Cisco IOS Release 15M&T 』を参照してください。

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/15-mt/sec-conn-dmvpn-15-mt-book/sec-conn-dmvpn-dmvpn.html

Group Encrypted Transport VPN の設定

Group Encrypted Transport（GET; グループ暗号化トランスポート）VPN は、Cisco IOS デバイス上で発生する、または Cisco IOS デバイス を経由するプライベート WAN 上の IP マルチキャスト トラフィック グループまたはユニキャスト トラフィックの安全を守るために必要な一連の機能です。GET VPN では、キー プロトコル Group Domain of Interpretation（GDOI; グループ ドメイン オブ インタープリテーション）と IPsec 暗号化を組み合わせ、IP マルチキャスト トラフィックまたはユニキャスト トラフィックを保護するための効率的な方法をユーザに提供します。GET VPN では、ルータによって、トンネル化されていない（つまり「ネイティブな」）IP マルチキャストおよびユニキャスト パケットに対して暗号化を適用できるので、マルチキャストおよびユニキャスト トラフィックを保護するためにトンネルを設定する必要がありません。

ポイントツーポイント トンネルが不要になるため、QoS、ルーティング、およびマルチキャストなどの音声およびビデオ品質にとって重要なネットワーク インテリジェンス機能を維持しながら、メッシュ ネットワークをより大規模に設定できます。GET VPN では、「信頼できる」グループ メンバーというコンセプトを基にした、新しい標準ベースの IP Security（IPsec）モデルが用意されています。信頼できるメンバーのルータでは、ポイントツーポイント IPsec トンネル関係とは独立した共通のセキュリティ方式が使用されます。

GET VPN 設定の詳細については、 https://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_getvpn/configuration/15-2mt/sec-get-vpn.html を参照してください。

イーサネット タギングにおける SGT

Cisco TrustSec（CTS）は、エンドツーエンドのネットワーク インフラストラクチャであり、ロールベースのアクセス制御、ID 認識型ネットワーキングを適用するための拡張性に優れたアーキテクチャを提供するとともに、ネットワークとそのリソースの保護に役立つデータ機密性を実現します。CTS は、各ネットワーク ユーザおよびリソースの特定と認証、およびセキュリティ グループ タグ（SGT）と呼ばれる 16 ビットの番号の割り当てによって機能します。その後、SGT がネットワーク ホップ間で順番に伝搬されます。結果として、中間デバイス（スイッチとルータ）はアイデンティティ タグに基づいたポリシーを適用できるようになります。

CTS 対応デバイスには、MAC（L2）レイヤ内に組み込まれた SGT を持つパケットを送受信できる、ハードウェア機能が組み込まれています。この機能は、L2-SGT インポジションと呼ばれます。この機能により、デバイスのイーサネット インターフェイスで L2-SGT インポジションを有効にできるため、そのデバイスはネクスト ホップ イーサネット ネイバーに伝送されるパケットに SGT を挿入できるようになります。イーサネット タギングにおける SGT は、クリアテキスト（非暗号化）イーサネット パケットに組み込まれた SGT のホップバイホップ伝搬の一種です。

Cisco TrustSec の詳細については、 https://www.cisco.com/c/en/us/td/docs/switches/lan/trustsec/configuration/guide/trustsec/config.html を参照してください。

暗号化エンジン スループット ポリシング

暗号化スループット ポリシングには、パケット レート ポリシングとビット レート ポリシングの 2 つのタイプがあります。

パケット レート ポリシング

Cisco 921J ルータは、パケット レート（パケット/秒）ポリシングをサポートしています。実際のビット レート スループット（ビット/秒）は、パケット サイズによって異なります。

ビット レート ポリシング

Cisco 931 および C921 ルータは、ビット レート（ビット/秒）ポリシングをサポートしています。

ポリシングによるパケット ドロップを表示するには、 show crypto engine accelerator statistic コマンドを使用します。次に、Cisco 921J ルータに対するコマンドの出力例を示します。