- 始める前に
- ASA 5550 のスループットの最大化
- ASA 5550 の取り付け
- ASA 5500、ASA 5510、ASA 5520、および ASA 5540 の取り付け
- オプションの SSM の取り付け
- ASA 5500、ASA 5510、ASA 5520、および ASA 5540 プラット フォームにおけるインターフェイス ケーブルの接続
- 適応型セキュリティ アプライアンス の設定
- シナリオ:DMZ 設定
- シナリオ:IPsec リモートアクセス VPN 設定
- シナリオ:Cisco AnyConnect VPN クライアント用接続の設定
- シナリオ:SSL VPN クライアント レス接続
- シナリオ:サイトツーサイト VPN 設定
- AIP SSM の設定
- CSC SSM の設定
- ファイバ向け 4GE SSM の設定
- 3DES/AES ライセンスの取得
Cisco ASA 5500 シリーズ スタートアップ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2012年2月25日
章のタイトル: CSC SSM の設定
CSC SSM の設定
ASA 5500 シリーズ 適応型セキュリティ アプライアンスは、Content Security および Control ソフトウェアを実行する CSC SSM をサポートしています。CSC SSM は、適応型セキュリティ アプライアンスが CSC SSM に転送する FTP、HTTP、POP3、および SMTP の各トラフィックをスキャンすることで、ウイルス、スパイウェア、スパム、およびその他の迷惑なトラフィックに対して保護します。
(注) CSC SSM には Cisco ASA 5500 シリーズ ソフトウェア バージョン 7.1(1)以降が必要です。
•
「CSC SSM 搭載の適応型セキュリティ アプライアンスの構成について」
• 「シナリオ:コンテンツ セキュリティのため CSC SSM を搭載したセキュリティ アプライアンス」
• 「次の作業」
CSC SSM について
CSC SSM は、Trend Micro 社のアップデート サーバから定期的に更新される、疑わしいコンテンツのシグニチャ プロファイルが入ったファイルを維持します。CSC SSM は適応型セキュリティ アプライアンスから受信されるトラフィックをスキャンし、それを Trend Micro 社から受け取るコンテンツ プロファイルと比較します。次に、正規のコンテンツを適応型セキュリティ アプライアンスに転送してルーティングしたり、疑わしいコンテンツをブロックして報告します。
Trend Micro 社からコンテンツ プロファイルを受け取るだけでなく、システム アドミニストレータが、CSC SSM が追加のトラフィック タイプや場所をスキャンするよう、設定をカスタマイズすることもできます。たとえば、システム アドミニストレータは特定の URL をブロックまたはフィルタしたり、FTP および E メール パラメータをスキャンするよう CSC SSM を設定できます。
CSC SSM のシステム セットアップや監視には ASDM を使用します。CSC SSM ソフトウェアでコンテンツ セキュリティ ポリシーの高度な設定をするには、ASDM 内でリンクをクリックして、CSC SSM の Web ベースの GUI にアクセスします。
この章では、適応型セキュリティ アプライアンスを設定して構成する方法について説明します。CSC SSM GUI の使用方法については、『Cisco Content Security and Control SSM Administrator Guide』に記載されています。
CSC SSM 搭載の適応型セキュリティ アプライアンスの構成について
適応型セキュリティ アプライアンスが CSC SSM とともに構成されているネットワークでは、CSC SSM にスキャンしたいトラフィックのタイプだけ送信するよう適応型セキュリティ アプライアンスを設定します。
図 14-1 に、企業ネットワーク、適応型セキュリティ アプライアンスおよび CSC SSM、またインターネット間の基本的なトラフィック フローを示します。図 14-1 に図示されたネットワークには次のものがあります。
• CSC SSM がインストールされ、設定されている適応型セキュリティ アプライアンス
• どのトラフィックが CSC SSM に転送されてスキャンされるかを指定する適応型セキュリティ アプライアンス上のサービス ポリシー
この例では、クライアントは Web サイトにアクセスし、FTP サーバからファイルをダウンロードし、または POP3 サーバからメールを受信するネットワーク ユーザと考えられます。
2. 適応型セキュリティ アプライアンスがその要求を受信し、インターネットに転送します。
3. 要求されたコンテンツを取得すると、適応型セキュリティ アプライアンスは、そのサービス ポリシーがこのコンテンツ タイプを CSC SSM に転送してスキャンすべきコンテンツとして定義しているどうか判断し、適宜、転送してスキャンします。
4. CSC SSM は適応型セキュリティ アプライアンスからコンテンツを受信し、スキャンして、その Trend Micro コンテンツ フィルタの最新アップデートと比較します。
5. コンテンツが疑わしい場合、CSC SSM はコンテンツをブロックし、イベントを報告します。コンテンツが疑わしくない場合は、CSC SSM は、ルーティングのため要求されたコンテンツを適応型セキュリティ アプライアンスに転送します。
(注) CSC SSM は、SMTP トラフィックを他のコンテンツ タイプとは異なる方法で処理します。CSC SSM は SMTP トラフィックを受信してスキャンした後、ルーティングのためにトラフィックを適応型セキュリティ アプライアンスには転送しません。代わりに、CSC SSM は SMTP トラフィックを適応型セキュリティ アプライアンスで保護された SMTP サーバに直接転送します。
シナリオ:コンテンツ セキュリティのため CSC SSM を搭載したセキュリティ アプライアンス
図 14-2 に、CSC SSM を搭載した適応型セキュリティ アプライアンスの一般的な構成を示します。
このシナリオでは、お客様はコンテンツ セキュリティのため CSC SSM を搭載した適応型セキュリティ アプライアンスを構成しています。特に興味深いのは次の点です。
• 適応型セキュリティ アプライアンスは専用管理ネットワーク上にあります。専用管理ネットワークの使用は必須ではありませんが、セキュリティを考え、使用することを推奨します。
• この適応型セキュリティ アプライアンス設定には 2 つの管理ポートがあります。1 つは適応型セキュリティ アプライアンス自体用、もう 1 つは CSC SSM 用です。すべての管理ホストは両方の IP アドレスにアクセスできることが必要です。
• HTTP プロキシ サーバは、内部ネットワークと専用管理ネットワーク両方に接続されています。これにより CSC SSM は、Trend Micro 社のアップデート サーバから更新されたコンテンツ セキュリティ フィルタを取得できます。
• アドミニストレータに CSC SSM イベントを通知できるよう、管理ネットワークには SMTP サーバが含まれています。管理ネットワークには、CSC SSM により生成されたログを保存するため syslog サーバも含まれています。
• 「設定要件」
• 「コンテンツ セキュリティのための CSC SSM の設定」
設定要件
適応型セキュリティ アプライアンスの構成を計画する場合、ネットワークが次の要件を満たしていることが重要です。
• SSM 管理ポートの IP アドレスは、ASDM の実行で使用されるホストによりアクセスできなければなりません。ただし、SSM 管理ポートおよび適応型セキュリティ アプライアンス管理インターフェイスの IP アドレスは異なるサブネットにある場合があります。
• SSM 管理ポートは、CSC SSM が Trend Micro アップデート サーバに到達できるよう、インターネットに接続できなければなりません。
コンテンツ セキュリティのための CSC SSM の設定
オプションの CSC SSM モジュールとともに適応型セキュリティ アプライアンスを注文した場合、初期設定を完了するまでに、いくつか必要な手順があります。適応型セキュリティ アプライアンスで行う設定手順もあれば、CSC SSM で実行しているソフトウェアで行う手順もあります。
このマニュアルのこれよりも前の章の手順に従っている場合、この時点で、ライセンス ソフトウェアにより適応型セキュリティ アプライアンス システムが動作しており、Startup Wizard を使用して基本システム値が入力されています。次に、コンテンツ セキュリティ構成のために適応型セキュリティ アプライアンスを設定します。
1. Cisco.com からソフトウェア アクティベーション キーを入手します。
4. ASDM で、CSC 設定ウィザードを実行し、CSC SSM を設定します。
5. ASDM を使用してトラフィックを CSC SSM に転送し、スキャンするよう適応型セキュリティ アプライアンスを設定します。
• 「Cisco.com からのソフトウェア アクティベーション キーの入手」
• 「情報の収集」
Cisco.com からのソフトウェア アクティベーション キーの入手
CSC SSM により、Product Authorization Key(PAK)を受信しているはずです。PAK を使用して、次の URL で CSC SSM を登録します。
登録後、E メールでアクティベーション キーを受信します。 「CSC Setup Wizard の実行」 に記載された手順を完了する前に、アクティベーション キーが必要です。
情報の収集
適応型セキュリティ アプライアンスと CSC SSM を設定する前に、次の情報を収集します。
• CSC SSM 管理ポートの IP アドレスとネットマスク、ゲートウェイの IP アドレスとネットマスク。適応型セキュリティ アプライアンスの IP アドレスは、 付録 A「3DES/AES ライセンスの取得」 に記載されているように Startup Wizard を完了したときに割り当てられました。
(注) SSM 管理ポートの IP アドレスは、ASDM の実行で使用されるホストによりアクセスできなければなりません。SSM 管理ポートおよび適応型セキュリティ アプライアンス管理インターフェイスの IP アドレスは異なるサブネットにある場合があります。
• HTTP プロキシ サーバの IP アドレス(インターネットへの HTTP アクセスにネットワークでプロキシが使用されている場合)
• E メール通知に使用する E メール アドレスおよび SMTP サーバの IP アドレスとポート番号
• CSC SSM への管理アクセスを許可するためのホストとネットワークの IP アドレス
時間設定の確認
時間帯など、適応型セキュリティ アプライアンスの時間設定の精度を確認します。ライセンスには時間的制約があるため、セキュリティ イベントの記録、CSC SSM のコンテンツ フィルタ リストの自動アップデート、またライセンシングには時間は正確であることが重要です。
• 時間設定を手動で制御する場合、クロック設定を確認します。ASDM で、[Configuration] > [Device Setup] > [System Time] > [Clock] の順に選択します。
• NTP を使用して時間設定を制御している場合は、NTP 設定を確認します。ASDM で、[Configuration] > [Device Setup] > [System Time] > [NTP] の順に選択します。
CSC Setup Wizard の実行
ステップ 1 ASDM メイン アプリケーション ウィンドウで、[Configuration] > [Trend Micro Content Security] > [Wizard Setup] > [Launch Wizard Setup] の順に選択します。
ステップ 2 CSC Setup Wizard の Step 1 で、[Base License] および、該当する場合は [Plus License] のプロダクト アクティベーション コードを入力します。[Plus License] のアクティベーション コードは CSC SSM の初期設定後に入力できます。
ステップ 4 CSC Setup Wizard の Step 2 で、次の情報を入力します。
• CSC 管理インターフェイスの IP アドレス、ネットワーク マスク、およびゲートウェイ IP アドレス
• (オプション)HTTP プロキシ サーバの IP アドレスおよびプロキシ ポート(ネットワークで HTTP プロキシ サーバを使用して HTTP 要求をインターネットに送信している場合)
ステップ 6 CSC Setup Wizard の Step 3 で、次の情報を入力します。
• ローカル メール サーバにより着信ドメインとして使用されているドメイン名
(注) アンチスパム ポリシーは、このドメインに入る E メール トラフィックにだけ適用されます。
• 通知用のアドミニストレータの E メール アドレス、E メール サーバの IP アドレス、およびポート
ステップ 8 CSC Setup Wizard の Step 4 で、次の情報を入力します。
• CSC SSM への管理アクセス権を持っているはずの、各サブネットおよびホストの IP アドレスとネットワーク マスク デフォルトでは、すべてのネットワークに CSC SSM への管理アクセス権があります。
(注) セキュリティを考え、特定のサブネットや管理ホストへのアクセスを制限することを推奨します。
• ホストとネットワークの新しい組み合せを入力するには、[Add] をクリックします。
• 既存のホストとネットワークの組み合せを削除するには、[Selected Hosts/Networks] リストから 1 つ選択し、[Delete] をクリックします。
ステップ 10 CSC Setup Wizard の Step 5 で、次の情報を入力します。
ステップ 12 CSC Setup Wizard の Step 6 で、CSC スキャンのためのトラフィック選択肢を定義します。[Add] をクリックします。
[Specify Traffic for CSC Scan] ダイアログボックスが表示されます。
ステップ 13 ドロップダウン リストからインターフェイスを選択します。利用可能なオプションは、[global (all interfaces)]、[inside]、[management]、および [ssm management] です。
ステップ 14 [IPv4 Network Objects] リストからネットワーク トラフィックの発信元を選択し、[OK] をクリックします。
ステップ 15 スキャンのため CSC のネットワーク トラフィックの宛先を指定するには、省略記号をクリックし、[Browse Destination] ダイアログボックスを表示します。
ステップ 16 [IPv4 Network Objects] リストからネットワーク トラフィックの宛先を選択し、[OK] をクリックします。
ステップ 17 スキャンのため CSC のサービスのタイプを指定するには、省略記号をクリックし、[Browse Service] ダイアログボックスを表示します。
ステップ 18 リストからサービス(複数の場合もあり)を選択し、[OK] をクリックします。
ステップ 19 CSC でスキャンするネットワーク トラフィックの説明を指定のフィールドに入力します。
ステップ 20 スキャンに失敗した場合に CSC でネットワーク トラフィックをスキャンできるかどうか指定する場合は、次の内容を実行します。
• スキャンせずにトラフィックの通過を許可する場合は、[Permit] をクリックします。
• スキャンせずにトラフィックが通過しないようにするには、[Deny] をクリックします。
• 設定を保存するには、[OK] をクリックします。追加されたトラフィックの詳細が [Traffic Selection for CSC Scan] 画面に表示されます。
• これらの設定を廃棄し、[Traffic Selection for CSC Scan] 画面に戻るには、[Cancel] をクリックします。[Cancel] をクリックすると、ASDM により決定を確認するダイアログボックスが表示されます。
ステップ 22 CSC Setup Wizard の Step 7 で、[Summary] 画面で CSC SSM に入力した設定内容を確認します。
ステップ 23 適切に設定されている場合は、[Finish] をクリックします。設定を変更するには、変更する設定が表示されている画面になるまで [Back] をクリックします。
CSC SSM がアクティブであることを示す情報メッセージが表示されます。
デフォルトでは、CSC SSM は、(アンチウイルス、アンチスパム、アンチフィッシング、およびコンテンツ フィルタリングを含む場合がある)購入したライセンスにしたがって有効になったコンテンツ セキュリティをスキャンするよう設定されています。また、Trend Micro 社のアップデート サーバから定期的にアップデートを入手するよう設定されています。
Plus ライセンスを購入した場合は、URL ブロッキングおよび URL フィルタリングだけでなく、E メール パラメータや FTP パラメータのカスタム設定を作成できます。詳細については、『Cisco Content Security and Control SSM Administrator Guide』を参照してください。
次の作業
これで、Trend Micro Interscan for Cisco CSC SSM ソフトウェアを設定する準備ができました。次のマニュアルを使用して、各実装内容に応じた適応型セキュリティ アプライアンスの設定を続けます。
|
|
|
|---|---|
『 Cisco Content Security and Control SSM Administrator Guide 』 |
|
CSC SSM ソフトウェアを設定したら、次の追加の手順を実行することもできます。
|
|
|
|---|---|
複数のアプリケーションに適応型セキュリティ アプライアンスを設定できます。次の章では、適応型セキュリティ アプライアンスの他の一般的なアプリケーションの設定手順について説明します。
|
|
|
|---|---|
フィードバック