Cisco 860 および Cisco 880 シリーズ サービス 統合型ルータ ソフトウェア コンフィギュレーショ ン ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月1日
章のタイトル: セキュリティ機能の設定
セキュリティ機能の設定
この章では、Cisco 860 および Cisco 880 シリーズ Integrated Services Routers(ISR; サービス統合型ルータ)で設定可能な特定のセキュリティ機能を実装するシスコの主要なフレームワークである Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)の概要について説明します。
•
「AAA」
AAA
AAA のネットワーク セキュリティ サービスは、ルータ上でアクセス制御を設定するための主要なフレームワークを提供します。認証は、ユーザを識別する手段を提供します。これには、ログインおよびパスワード ダイアログ、チャレンジ/応答、メッセージ サポート、および暗号化(選択したセキュリティ プロトコルに基づく)などがあります。許可は、リモート アクセス制御の手段を提供します。これには、一時的な許可またはサービスごとの許可、ユーザ単位のアカウント リストおよびプロファイル、ユーザ グループのサポート、および IP、Internetwork Packet Exchange(IPX)、AppleTalk Remote Access(ARA)、Telnet のサポートなどがあります。アカウンティングは、ユーザ ID、開始時刻および終了時刻、実行されたコマンド(PPP など)、パケット数、およびバイト数などの課金、監査、および報告に使用するセキュリティ サーバ情報の収集および送付を行う手段を提供します。
AAA は RADIUS、TACACS+、または Kerberos などのプロトコルを使用してセキュリティ機能の管理を行います。ルータがネットワーク アクセス サーバとして機能している場合、AAA はネットワーク アクセス サーバと RADIUS、TACACS+、または Kerberos セキュリティ サーバ間で通信を確立する手段となります。
AAA サービスの設定およびサポートされているセキュリティ プロトコルの詳細については、http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4t/sec_12_4t_book.html の『 Cisco IOS Release 12.4T Security Configuration Guide 』で次の各セクションを参照してください。
AutoSecure の設定
AutoSecure 機能は、ネットワーク攻撃の対象になる可能性のある一般的な IP サービスを無効にして、攻撃時のネットワークの防御に役立つ IP サービスと機能を有効します。これらの IP サービスは、コマンドを 1 回使用するだけで一度に無効および有効に設定されるため、ルータのセキュリティ設定が大幅に簡素化されます。AutoSecure 機能の詳細については、http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123newft/123_1/ftatosec.htm の AutoSecure 機能のマニュアルを参照してください。
アクセス リストの設定
アクセス リスト ACL は、送信元 IP アドレス、宛先 IP アドレス、またはプロトコルに基づいてインターフェイス上でネットワーク トラフィックの許可または拒否を行います。アクセス リストは、標準アクセス リストまたは拡張アクセス リストとして設定します。標準アクセス リストは、指定された送信元からのパケットの通過を許可または拒否します。拡張アクセス リストの場合は、宛先と送信元の両方を指定でき、個別のプロトコルの通過を許可または拒否するように指定できます。
アクセス リストの作成の詳細については、http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4/sec_12_4_book.html で『 Cisco IOS Release 12.4 Security Configuration Guide 』の「 Access Control Lists: Overview and Guidelines 」のセクションを参照してください。
アクセス リストは、共通のタグを使用して結合された一連のコマンドです。タグは番号または名前のいずれかです。 表 5-1 は、アクセス リストの設定に使用するコマンドを示しています。
アクセス リストを作成、改良、および管理するには、http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4t/sec_12_4t_book.html の『 Cisco IOS Release 12.4T Security Configuration Guide 』の「Traffic Filtering, Firewalls, and Virus Detection」で次の各セクションを参照してください。
• 「Creating an IP Access List and Applying It to an Interface」
• 「Creating an IP Access List to Filter IP Options, TCP Flags, Noncontiguous Ports, or TTL Values」
• 「Refining an IP Access List」
• 「Displaying and Clearing IP Access List Data Using ACL Manageability」
アクセス グループ
アクセス グループとは、共通の名前または番号を使用して統合された一連のアクセス リスト設定です。アクセス グループは、インターフェイスの設定時にインターフェイスに対してイネーブルになります。アクセス グループを作成する際には、次の点に注意します。
• アクセス リスト設定の順序は重要です。パケットはシーケンスの最初のアクセス リストと比較されます。一致しない場合(許可または拒否のいずれでもない場合)、パケットは次のアクセス リストと比較され、以降は同様に処理されます。
• パケットを許可または拒否するには、すべてのパラメータがアクセス リストと一致する必要があります。
• すべてのシーケンスの最後には暗黙的な「deny all」が存在しています。
アクセス グループの設定および管理の詳細については、http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4t/sec_12_4t_book.html の『 Cisco IOS Release 12.4T Security Configuration Guide 』の「 Creating an IP Access List to Filter IP Options, TCP Flags, Noncontiguous Ports, or TTL Values 」のセクションを参照してください。
Cisco IOS ファイアウォールの設定
Cisco IOS ファイアウォールを使用すると、パケットを内部で検査し、ネットワーク接続の状態を監視するステートフルなファイアウォールを設定できます。ステートフル ファイアウォールは、スタティックなアクセス リストよりも優れています。アクセス リストは、パケットのストリームに基づくのではなく、個別のパケットに基づいてトラフィックを許可または拒否するだけだからです。また、Cisco IOS ファイアウォールはパケットの検査を行うため、アプリケーション レイヤのデータを調べてトラフィックの許可または拒否を判断できます。スタティックなアクセス リストでは、このような検査を行うことはできません。
Cisco IOS ファイアウォールを設定するには、インターフェイス コンフィギュレーション モードで次のコマンドを使用して、検査するプロトコルを指定します。
ip inspect name inspection-name protocol timeout seconds
検査によって指定されたプロトコルがファイアウォールを通過していることが検出されると、ダイナミックなアクセス リストが作成されて、戻りトラフィックの通過が許可されます。timeout パラメータでは、ルータを通過する戻りトラフィックが存在しない場合にダイナミック アクセス リストをアクティブにしておく時間を指定します。所定のタイムアウト値が経過すると、ダイナミック アクセス リストは削除されるため、後続のパケット(通常、有効なパケット)は許可されません。
複数のステートメントで同じ検査名を使用すると、それらは 1 つのルール セットにまとめられます。コンフィギュレーションの別の場所でこのルールを有効にするには、ファイアウォールのインターフェイスを設定する際に ip inspect inspection-name in | out コマンドを使用します。
Cisco IOS ファイアウォールの設定の詳細については、http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4/sec_12_4_book.html で 『 Cisco IOS Release 12.4 Security Configuration Guide 』の「 Cisco IOS Firewall Overview 」のセクションを参照してください。
Cisco IOS ファイアウォールは、Session Initiated Protocol(SIP)アプリケーションのボイス セキュリティを提供するように設定することもできます。SIP 検査は、プロトコルの適合性およびアプリケーションの保護に加え、基本的な検査機能(SIP パケット検査およびピンホールの開きの検出)が提供されます。詳細については、http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_sip_alg_aic.html で、「 Cisco IOS Firewall: SIP Enhancements: ALG and AIC 」を参照してください。
Cisco IOS IPS の設定
Cisco 880 シリーズ ISR で利用可能な Cisco IOS Intrusion Prevention System(IPS; 侵入防御システム)テクノロジーは、セキュリティ ポリシーに違反したり、不正なネットワーク動作を示したりするパケットおよびフローに適切に対処することによって、境界部分のファイアウォール保護を強化します。
Cisco IOS IPS は、「シグネチャ」を使用してネットワーク トラフィックの悪用パターンを検出します。Cisco IOS IPS は、インライン型の侵入検知装置として機能し、ルータを通過するパケットおよびセッションを監視して、既知の IPS シグニチャとの比較を行います。Cisco IOS IPS は、不審な動作を検出すると、ネットワーク セキュリティが破られる前に対処してイベントを記録します。また、設定に応じて、次のいずれかを行います。
• 攻撃者のソース IP アドレスからのトラフィックを一定の期間拒否する
• シグネチャが確認された接続のトラフィックを一定の期間拒否する
Cisco IOS IPS の設定の詳細については、http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4t/sec_12_4t_book.html で『 Cisco IOS Release 12.4T Security Configuration Guide 』の「 Configuring Cisco IOS Intrusion Prevention System (IPS) 」のセクションを参照してください。
URL フィルタリング
Cisco 860 シリーズおよび Cisco 880 シリーズ ISR には、URL フィルタリングに基づいたカテゴリがあります。ユーザは、許可またはブロックする Web サイトのカテゴリを選択することで、ISR で URL フィルタリングをプロビジョニングします。サード パーティで管理されている外部のサーバを使用して、それぞれのカテゴリの URL を調べます。許可ポリシーおよび拒否ポリシーは ISR で保守管理します。サービスは加入ベースで、各カテゴリの URL はサード パーティのベンダーが保守管理します。
URL フィルタリングの詳細については、http://www.cisco.com/en/US/docs/ios/security/configuration/guide/sec_url_filtering.html の「 Subscription-based Cisco IOS Content Filtering 」を参照してください。
VPN の設定
Virtual Private Network(VPN; 仮想私設網)接続を使用すると、インターネットなどのパブリック ネットワーク上で 2 つのネットワーク間のセキュアな接続を実現できます。Cisco 860 および Cisco 880 シリーズ ISR は、サイト間 VPN およびリモート アクセス VPN の 2 種類の VPN をサポートしています。サイト間 VPN は、ブランチ オフィスとコーポレート オフィスを接続する場合などに使用します。リモート アクセス VPN は、リモート クライアントが企業ネットワークにログインする場合に使用します。リモート アクセス VPN およびサイト間 VPN の両方についてこのセクションで 2 つの例を挙げて説明します。
リモート アクセス VPN の設定では、Cisco Easy VPN および IP Security(IPSec)トンネリングを使用して、リモート クライアントと企業のネットワーク間の接続を設定および保護します。図 5-1 は、一般的なネットワーク構成例を示しています。
図 5-1 IPSec トンネルを使用したリモート アクセス VPN
|
|
|
|
|
|
|
|
|
|
|
VPN サーバ:Easy VPN サーバ(外部インターフェイス アドレスを 210.110.101.1 に設定した Cisco VPN 3000 コンセントレータなど) |
|
|
|
|
|
Cisco Easy VPN クライアントの機能を使用すると、Cisco Unity Client プロトコルを実行して、面倒な設定作業の多くを省略することができます。このプロトコルを使用すると、大半の VPN パラメータ(内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、Windows Internet Naming Services(WINS)サーバ アドレス、およびスプリットトンネリング フラグなど)を VPN サーバ(IPSec サーバとして動作する Cisco VPN 3000 シリーズ コンセントレータなど)で定義できます。
Cisco Easy VPN サーバ対応デバイスは、PC 上で Cisco Easy VPN リモート ソフトウェアを使用しているモバイル ユーザやリモート ユーザが起動した VPN トンネルを終端できます。Cisco Easy VPN サーバ対応装置により、リモート ルータが Easy VPN リモート ノードとして機能することができます。
Cisco Easy VPN クライアントの機能は、クライアント モードまたはネットワーク拡張モードのいずれかのモードで設定できます。クライアント モードはデフォルト設定です。クライアント モードを使用すると、クライアント サイトのデバイスだけが中央サイトにあるリソースにアクセスできます。クライアント サイトにあるリソースは、中央サイトでは利用できません。ネットワーク拡張モードを使用すると、(VPN 3000 シリーズ コンセントレータが配置された)中央サイトのユーザがクライアント サイトのネットワーク リソースにアクセスできます。
IPSec サーバが設定されている場合は、サポート対象の Cisco 880 シリーズ ISR といった IPSec クライアント上で最小限の設定を行うことにより、VPN 接続を作成できます。IPSec クライアントが VPN トンネル接続を開始すると、IPSec サーバは IPSec クライアントに IPSec ポリシーを設定し、対応する VPN トンネル接続を作成します。
(注) Cisco Easy VPN クライアントの機能は、宛先ピアを 1 つだけ使用する構成をサポートしています。アプリケーションで複数の VPN トンネルを作成する必要がある場合には、クライアントとサーバの両方で IPSec VPN および Network Address Translation/Peer Address Translation(NAT/PAT; ネットワーク アドレス変換/ポート アドレス変換)パラメータを手動で設定する必要があります。
Cisco 860 および Cisco 880 シリーズ ISR は、Cisco Easy VPN サーバとして動作するように設定することもでき、この機能を使用すると、許可された Cisco Easy VPN クライアントは接続されたネットワークに対してダイナミックな VPN トンネルを確立できます。Cisco Easy VPN サーバの設定の詳細については、http://www.cisco.com/en/US/docs/ios/12_2t/12_2t8/feature/guide/ftunity.html の「 Easy VPN Server 」の機能のマニュアルを参照してください。
サイト間 VPN の設定では、IPSec トンネルと Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)プロトコルを使用して、ブランチ オフィスと企業ネットワーク間の接続を保護します。図 5-2 は、一般的なネットワーク構成例を示しています。
図 5-2 IPSec トンネルおよび GRE によるサイト間 VPN
|
|
|
|
|
ファスト イーサネット LAN インターフェイス:アドレス 192.165.0.0/16(NAT の内部インターフェイス) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IPSec および GRE の設定の詳細については、http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4t/sec_12_4t_book.html で 『 Cisco IOS Release 12.4T Security Configuration Guide 』の「 Configuring Security for VPNs with IPSec 」の章を参照してください。
設定例ではいずれも「IPSec トンネル上での VPN の設定」 の手順を使用して、IPSec トンネル上に VPN を設定します。その後、リモート アクセス設定、サイト間設定という順にそれぞれの特定の手順を行います。
この章の設定例は、Cisco 860 および Cisco 880 の ISR のエンドポイント設定にだけ適用されます。いずれの VPN 接続も、両端のエンドポイントが適切に機能するように設定されている必要があります。他のルータ モデルで VPN を設定するために、必要に応じてソフトウェア設定マニュアルを参照してください。
VPN の設定情報は、両端のエンドポイントに設定される必要があります。設定する必要のあるパラメータは、内部 IP アドレス、内部サブネット マスク、DHCP サーバ アドレス、および Network Address Translation(NAT; ネットワーク アドレス変換)などです。
• 「GRE トンネルでの Site-to-Site の設定」
IPSec トンネル上での VPN の設定
次の作業を行って IPSec トンネル上で VPN を設定します。
• 「次の作業」
IKE ポリシーの設定
Internet Key Exchange(IKE; インターネット鍵交換)ポリシーを設定するには、グローバル コンフィギュレーション モードから、次の作業を行います。
グループ ポリシー情報の設定
グループ ポリシーを設定するには、グローバル コンフィギュレーション モードから、次の作業を行います。
|
|
|
|
|---|---|---|
crypto isakmp client configuration group { group-name | default } |
リモート クライアントにダウンロードされる属性を格納する IKE ポリシー グループを作成します。 このとき、Internet Security Association Key and Management Protocol(ISAKMP)グループ ポリシー コンフィギュレーション モードが開始されます。 |
|
|
|
||
|
|
グループのプライマリ Domain Name System(DNS; ドメイン ネーム システム)サーバを指定します。 wins コマンドを使用して、グループの Windows Internet Naming Service(WINS)サーバを指定することもできます。 |
|
|
|
||
|
|
IKE グループ ポリシーのコンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに切り替えます。 |
|
ip local pool { default | poolname } [ low-ip-address [ high-ip-address ]] |
このコマンドの詳細および設定可能なその他のパラメータについては、『 Cisco IOS Dial Technologies Command Reference 』を参照してください。 |
暗号マップに対するモード設定の適用
暗号マップにモード設定を適用するには、グローバル コンフィギュレーション モードから、次の作業を行います。
ポリシー検索のイネーブル化
AAA によるポリシー検索をイネーブルにするには、グローバル コンフィギュレーション モードから、次の作業を行います。
|
|
|
|
|---|---|---|
|
|
||
aaa authentication login {default | list-name } method1 [ method2... ] |
特定のユーザに関するログイン時の AAA 認証を設定し、使用する方式を指定します。 この例では、ローカル認証データベースが使用されます。ここで RADIUS サーバを使用することもできます。詳しくは、『 Cisco IOS Security Configuration Guide 』および『 Cisco IOS Security Command Reference 』を参照してください。 |
|
aaa authorization {network | exec | commands level | reverse-access | configuration} {default | list-name } [ method1 [ method2... ]] |
すべてのネットワーク関連サービス要求(PPP など)に関する AAA 許可を設定し、許可方式を指定します。 この例では、ローカル許可データベースが使用されます。ここで RADIUS サーバを使用することもできます。詳しくは、『 Cisco IOS Security Configuration Guide 』および『 Cisco IOS Security Command Reference 』を参照してください。 |
|
username name {nopassword | password password | password encryption-type encrypted-password } |
IPSec トランスフォームおよびプロトコルの設定
トランスフォーム セットは、セキュリティ プロトコルとアルゴリズムの特定の組み合わせです。IKE ネゴシエーションの実行時に、両ピアはデータ フローを保護するために特定のトランスフォーム セットの使用に同意します。
IKE ネゴシエーションの実行時に、両ピアは、複数のトランスフォーム セットから両ピアに共通するトランスフォームを検索します。このようなトランスフォームを含むトランスフォーム セットが見つかると、そのセットが選択され、両ピアのコンフィギュレーションの一部として、そのセットが保護対象トラフィックに適用されます。
IPSec トランスフォーム セットおよびプロトコルを指定するには、グローバル コンフィギュレーション モードから、次の作業を行います。
|
|
|
|
|---|---|---|
crypto ipsec profile profile-name |
||
crypto ipsec transform-set transform-set-name transform1 [transform2] [transform3] [transform4] |
トランスフォーム セット(IPSec セキュリティ プロトコルおよびアルゴリズムの使用可能な組み合わせ)を定義します。 有効なトランスフォームおよび組み合わせの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。 |
|
crypto ipsec security-association lifetime { seconds seconds | kilobytes kilobytes} |
IPSec セキュリティ アソシエーション(SA)のネゴシエート時に使用されるグローバル ライフタイムの値を指定します。 詳細については、『 Cisco IOS Security Command Reference 』を参照してください。 |
IPSec 暗号方式およびパラメータの設定
ダイナミック暗号マップ ポリシーは、ルータがすべての暗号マップ パラメータ(IP アドレスなど)を認識していない場合でも、リモート IPSec ピアからの新しいセキュリティ アソシエーションのネゴシエーション要求を処理します。
IPSec 暗号方式を設定するには、グローバル コンフィギュレーション モードから、次の作業を行います。
|
|
|
|
|---|---|---|
crypto dynamic-map dynamic-map-name dynamic-seq-num |
ダイナミック暗号マップ エントリを作成して、暗号マップ コンフィギュレーション モードを開始します。 このコマンドの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。 |
|
set transform-set transform-set-name [transform-set-name2...transform-set-name6] |
||
|
|
詳細については、『 Cisco IOS Security Command Reference 』を参照してください。 |
|
|
|
||
crypto map map-name seq-num [ ipsec-isakmp ] [ dynamic dynamic-map-name] [ discover ] [ profile profile-name] |
暗号マップの物理インターフェイスへの適用
暗号マップは、IPSec トラフィックが流れる各インターフェイスに適用する必要があります。物理インターフェイスに暗号マップを適用すると、ルータはすべてのトラフィックをセキュリティ アソシエーション データベースに対して評価するようになります。デフォルト設定の場合、ルータは接続を保護するためにリモート サイト間で送信されるトラフィックを暗号化します。この場合、パブリック インターフェイスを使用して、他のトラフィックの伝送やインターネットとの接続を利用することが可能です。
インターフェイスに暗号マップを適用するには、グローバル コンフィギュレーション モードから、次の作業を行います。
|
|
|
|
|---|---|---|
|
|
||
|
|
このコマンドの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。 |
|
|
|
次の作業
Cisco Easy VPN リモート設定を作成している場合は、「Cisco Easy VPN リモート設定の作成」の作業を行います。
IPSec トンネルおよび GRE を使用したサイト間 VPN を作成している場合は、「GRE トンネルでの Site-to-Site の設定」の作業を行います。
Cisco Easy VPN リモート設定の作成
Cisco Easy VPN クライアントとして機能するルータでは、Cisco Easy VPN リモートの設定を作成して、発信インターフェイスにこの設定を関連付ける必要があります。
リモートの設定を作成するには、グローバル コンフィギュレーション モードから、次の作業を行います。
設定例
次の設定例は、この章で説明した VPN および IPSec トンネルのコンフィギュレーション ファイルの一部です。
GRE トンネルでの Site-to-Site の設定
GRE トンネルを設定するには、グローバル コンフィギュレーション モードから、次の作業を行います。
設定例
次の設定例は、前述の各項で説明した GRE トンネルによる VPN のコンフィギュレーション ファイルの一部です。
フィードバック