Cisco ASA 5500 シリーズ Adaptive Security Appliance クイック スタート ガイド

Transcription

1 クイックスタートガイド Cisco ASA 5500 シリーズ Adaptive Security Appliance クイックスタートガイド 1 パッケージ内容の確認 2 Cisco ASA 5500 シリーズ適応型セキュリティアプライアンスの取り付け 3 Cisco ASA 5500 シリーズ適応型セキュリティアプライアンスの設定 4 一般的な設定シナリオ 5 オプションの SSM 設定と構成の手順 6 オプションのメンテナンスとアップグレードの手順

2 Cisco ASA 5500 シリーズ適応型セキュリティアプライアンスについて ACTIVE VPN POWER STATUS FLASH CISCO ASA 5530 SERIES Adaptive Security Appliance Cisco ASA 5500 シリーズ適応型セキュリティアプライアンスファミリは 中規模ビジネスのネットワークから大規模エンタープライズのネットワークまで 企業レベルのセキュリティをモジュラ形式の専用のアプライアンスで提供します その用途の広い 1 ラックユニット (1RU) 設計では 最大 8 個の 10/100/1000 ギガビットイーサネットインターフェイス (5520 と 5540 の場合 ) および 1 個の 10/100 ファーストイーサネット管理インターフェイスがサポートされます したがって 費用有効で柔軟性があり Demilitarized Zone(DMZ; 非武装地帯 ) サポートがあるセキュリティソリューションを必要とする企業にとって優れた選択肢となっています オプションの 4GE SSM には 4 個のポートが備わっていて それぞれ 2 つのインターフェイス ( 銅線の RJ-45( イーサネット ) および光ファイバ接続用の SFP) があります 市場をリードする Cisco 適応型セキュリティアプライアンスシリーズ製品の 1 つである Cisco ASA 5500 を使用すると 多様な統合セキュリティサービス ハードウェア VPN アクセラレータ 完全な侵入防御 高いアベイラビリティ および強力なリモート管理といった各種の機能が 導入の容易な高性能のソリューションで提供されます 2

3 このマニュアルについて このマニュアルでは Cisco ASA および 5540 の適応型セキュリティアプライアンスを設置して設定し VPN DMZ リモートアクセス および侵入防御の導入のために使用する方法について説明します このマニュアルで説明する手順を完了すると 適応型セキュリティアプライアンスで ほとんどの構成に適した堅固な VPN DMZ またはリモートアクセスの設定を実行できるようになります このマニュアルは 適応型セキュリティアプライアンスを設置し 基本コンフィギュレーションで実行するために十分な情報のみを記載しています 詳細については 次のマニュアルを参照してください Cisco ASA 5500 Series Release Notes Cisco ASA 5500 Series Hardware Installation Guide Cisco Security Appliance Command Line Configuration Guide Cisco Security Appliance Command Reference Cisco Security Appliance Logging Configuration and System Log Messages 3

4 FLASH 1 パッケージ内容の確認 パッケージの箱の内容をチェックし Cisco ASA 5500 シリーズ適応型セキュリティアプライアンスを取り付けるために必要な品目がすべてそろっていることを確認します Cisco ASA 5500 MGMT USB2 USB1 LINK SPD 3 LINK SPD 2 LINK SPD 1 LINK SPD 0 POWER STATUS ACTIVE VPN FLASH AO AO ( ) AO PC AO AO Cisco ASA 5500 Adaptive Security Appliance Product CD Safety and Compliance Guide Cisco ASA 5500 Series Hardware Installation Guide

5 2 Cisco ASA 5500 シリーズ適応型セキュリティアプライアンスの取り付け 警告 危険 の意味です 人身事故を予防するための注意事項が記述されています 装置の取り扱い作業を行うときは 電気回路の危険性に注意し 一般的な事故防止策をとるよう努めてください 警告の各国語版を参照するには 各注意事項の番号と 装置に付属の Translation Safety Warnings の番号を照らし合せてください ステートメント 1071 注意 これらの手順を実行する場合は Regulatory Compliance and Safety Information for the Cisco ASA 5500 Series の安全に関する警告を読み 適切な安全手順に従ってください 警告 ラックにこの装置をマウントしたり ラック上の装置の作業を行うときは ケガをしないように 装置が安定した状態に置かれていることを十分に確認してください 安全に関するガイドラインは次のとおりです この装置だけをラックにマウントする場合 ラックの一番下にマウントしてください すでに別の装置がラックに取り付けられている場合は 最も重い装置をラックの一番下に取り付け 重い順に下から上へと設置するようにします ラックにスタビライザが付属している場合は スタビライザを取り付けてから ラックへの装置の取り付けまたはラックでの作業を行います ステートメント 1006 適応型セキュリティアプライアンスをラックに取り付ける場合は 次のガイドラインに従います メンテナンスのためにラックの周囲にすき間を空けます 閉鎖型ラックに装置をマウントする場合は 換気が十分に行われるようにします 閉鎖型ラックに装置を詰め込みすぎないようにしてください 各装置で熱が発生します 開放型ラックに装置をマウントする場合は ラックのフレームで吸気口や排気口をふさがないように注意します 5

6 警告 次の手順を実行する前に DC 回路に電気が流れていないことを確認してください すべての電源を確実に切断するには パネルボード上で DC 回路に対応している回路ブレーカーを確認して 回路ブレーカーを OFF の位置に切り替え 回路ブレーカーのスイッチハンドルを OFF の位置のままテープで固定します ステートメント 7 シャーシのラックマウント シャーシをラックマウントするには 次の手順に従います ステップ 1 付属のネジを使用して シャーシにラックマウントブラケットを取り付けます シャーシの前面付近または背面にある穴にブラケットを取り付けます ( 図 1 を参照してください ) 図 1 ブラケットの取り付け CISCO ASA 5540 SERIES Adaptive Security Appliance

7 ACTIVE VPN Adaptive Security Appliance ステップ 2 付属のネジを使用して シャーシをラックに取り付けます ( 図 2 を参照してください ) 図 2 シャーシのラックマウント POWER STATUS FLASH CISCO ASA 5540 SERIES

8 インターフェイスケーブルの接続 インターフェイスケーブルを接続するには 次の手順に従います ステップ 1 管理アクセスのため コンピュータまたはターミナルを適応型セキュリティアプライアンスに接続します ( 注 ) コンピュータまたはターミナルをコンソールポートに接続する前に ボーレートを確認します ボーレートは 適応型セキュリティアプライアンスのコンソールポートのデフォルトボーレート (9600 ボー ) と一致している必要があります コンピュータまたはターミナルを次のように設定します 9600 ボー ( デフォルト ) 8 データビット パリティなし 1 ストップビット FC= ハードウェア ステップ 2 ステップ 3 ステップ 4 アクセサリキットから青色のコンソールケーブルを見つけます コンソールケーブルには 一方の端に RJ-45 コネクタ もう一方の端に DB-9 コネクタがあります 青色のコンソールケーブルの RJ-45 コネクタを 適応型セキュリティアプライアンスの背面パネルにあるコンソールポートに接続します ( 図 3 を参照してください ) 青色のケーブルの DB-9 コネクタをコンピュータまたはターミナルのシリアルポートに接続します 8

9 図 3 シャーシコンソールケーブルの接続 FLASH CONSOLE AUX POWER STATUS ACTIVE VPN FLASH RJ-45 コンソールポート 2 RJ-45/DB-9 シリアルコンソールケーブル ( ヌルモデム ) ( 注 ) 管理目的で 適応型セキュリティアプライアンスの MGMT ポートにイーサネットケーブルを接続することもできます MGMT ポートは管理トラフィック専用のファーストイーサネットインターフェイスで Management0/0 として指定されています MGMT ポートはコンソールポートと類似していますが 着信トラフィックのみを受け入れます ステップ 5 ステップ 6 ステップ 7 ステップ 8 アクセサリキットから黄色のイーサネットケーブルを見つけます イーサネットケーブルの一方の端をイーサネットポートに接続し もう一方の端をネットワークデバイス ( ルータ スイッチ ハブなど ) に接続します 電源コードを適応型セキュリティアプライアンスと電源に接続します シャーシの電源を入れます 9

10 3 Cisco ASA 5500 シリーズ適応型セキュリティアプライアンスの設定 この項では 適応型セキュリティアプライアンスの初期設定について説明します 設定手順を実行するには ブラウザベースの Cisco Adaptive Security Device Manager(ASDM) またはコマンドラインインターフェイス (CLI) のいずれかを使用します ( 注 ) ASDM を使用するには DES ライセンスまたは 3DES/AES ライセンスが必要です 詳細については P.61 の DES および 3DES/AES の暗号化ライセンスの取得 を参照してください 工場出荷時のデフォルト設定について Cisco 適応型セキュリティアプライアンスは すぐに使用を開始できるように工場でデフォルト設定されて出荷されます この設定は 大部分の中小企業におけるネットワーク環境のニーズを満たしています デフォルトでは 適応型セキュリティアプライアンスは次のように設定されています 内部 ( ギガビットイーサネット 0/1) インターフェイスには デフォルト DHCP アドレスプールが組み込まれている この設定により 内部ネットワークのクライアントは 適応型セキュリティアプライアンスに接続するためにアプライアンスから DHCP アドレスを取得できます このため 管理者は ASDM を使用して適応型セキュリティアプライアンスを設定および管理できます 外部 ( ギガビットイーサネット 0/0) インターフェイスはパブリックネットワークへの接続に使用され すべての着信トラフィックを拒否するように設定されている この設定により 内部ネットワークが要求外のトラフィックから保護されます また ネットワークのセキュリティポリシーに基づいて 外部インターフェイス または必要なその他すべてのインターフェイスを経由する ICMP トラフィックをすべて拒否するように適応型セキュリティアプライアンスを設定することを検討する必要もあります このアクセスコントロールポリシーは icmp コマンドを使用して設定できます icmp コマンドの詳細については Cisco Security Appliance Command Reference を参照してください 10

11 Adaptive Security Device Manager について Adaptive Security Device Manager (ASDM) は 適応型セキュリティアプライアンスを管理および監視できる 豊富な機能を持つグラフィカルインターフェイスです その Web ベースの設計によってセキュアなアクセスが実現されるため Web ブラウザを使用して どこからでも適応型セキュリティアプライアンスに接続し 管理することができます 設定と管理の機能がそろっているだけでなく ASDM には適応型セキュリティアプライアンスの導入を簡素化および促進するインテリジェントウィザードが搭載されています ASDM を使用するには DES ライセンスまたは 3DES/AES ライセンスが必要です さらに Web ブラウザで Java および JavaScript をイネーブルにする必要があります コマンドラインインターフェイスを使用した設定について 適応型セキュリティアプライアンスは ASDM Web コンフィギュレーションツールだけでなく コマンドラインインターフェイスを使用しても設定できます 詳細については Cisco Security Appliance Command Line Configuration Guide および Cisco Security Appliance Command Reference を参照してください Startup Wizard の使用方法 ASDM には 適応型セキュリティアプライアンスの初期設定を簡素化する Startup Wizard が用意されています Startup Wizard を使用すると わずかな手順で 内部ネットワーク ( ギガビットイーサネット 0/1) と外部ネットワーク ( ギガビットイーサネット 0/0) 間でパケットが安全に流れるように適応型セキュリティアプライアンスを設定できます 11

12 Startup Wizard を起動する前に 次の情報を収集します ネットワーク上の適応型セキュリティアプライアンスを識別する一意のホスト名 外部インターフェイス 内部インターフェイス およびその他のインターフェイスの IP アドレス NAT または PAT の設定に使用する IP アドレス DHCP サーバの IP アドレス範囲 Startup Wizard を使用して適応型セキュリティアプライアンスの基本設定をセットアップするには 次の手順に従います ステップ 1 まだ次の操作を実行していない場合は ここでいずれかを実行します ASA 5520 または 5540 の場合は イーサネットケーブルを使用して内部ギガビットイーサネット 0/1 インターフェイスをスイッチまたはハブに接続します 同じスイッチに 適応型セキュリティアプライアンスを設定する PC を接続します ASA 5510 の場合は イーサネットケーブルを使用して内部イーサネット 1 インターフェイスをスイッチまたはハブに接続します 同じスイッチに 適応型セキュリティアプライアンスを設定する PC を接続します ステップ 2 DHCP を使用するように ( 適応型セキュリティアプライアンスから自動的に IP アドレスを受け取るように )PC を設定するか ネットワークからアドレスを選択して PC に固定 IP アドレスを割り当てます ( 有効なアドレスは ~ で のマスクと のデフォルトルートがあります ) ( 注 ) 適応型セキュリティアプライアンスの内部インターフェイスには デフォルトで が割り当てられています そのため このアドレスは使用できません ステップ 3 次のいずれかの操作を実行します ASA 5520 または 5540 の場合は ギガビットイーサネット 0/1 インターフェイスのリンク LED を確認します ASA 5510 場合は イーサネット 1 インターフェイスのリンク LED を確認します 接続が確立されると 適応型セキュリティアプライアンスのリンク LED インターフェイス およびスイッチまたはハブ上の対応するリンク LED が緑色に点灯します 12

13 ステップ 4 Startup Wizard を起動します a. スイッチまたはハブに接続された PC で インターネットブラウザを起動します b. ブラウザのアドレスフィールドに という URL を入力します ( 注 ) 適応型セキュリティアプライアンスは のデフォルト IP アドレスが設定されて出荷されます https の s を付け忘れると 接続は失敗します HTTPS (HTTP over SSL) を使用すると ブラウザと適応型セキュリティアプライアンスとの間の安全な接続が可能になります ステップ 5 ステップ 6 ステップ 7 ステップ 8 ユーザ名とパスワードの入力を求めるダイアログボックスでは どちらのフィールドも空のままにします Enter キーを押します Yes をクリックして 証明書を受け入れます 後続の認証および証明書に関するすべてのダイアログボックスで Yes をクリックします ASDM が起動したら ウィンドウ最上部にある Wizards メニューから Startup Wizard を選択します Startup Wizard の手順に従って適応型セキュリティアプライアンスを設定します Startup Wizard のフィールドの詳細を確認するには ウィンドウ下部にある Help ボタンをクリックします 13

14 4 一般的な設定シナリオ この項では 適応型セキュリティアプライアンスの一般的な導入の設定例を示します 次の 3 つの例を紹介します DMZ ネットワーク上の Web サーバのホスティング オフサイトのクライアントが内部ネットワークとのセキュアな通信を確立するためのリモートアクセス VPN 接続の確立 他のビジネスパートナーまたはリモートオフィスとのサイトツーサイト VPN 接続の確立 ネットワークを設定するときには これらのシナリオをガイドとして使用してください 実際に使用するネットワークアドレスに置き換え 必要に応じて追加のポリシーを適用します シナリオ 1:DMZ 設定 非武装地帯 (DMZ) は プライベート ( 内部 ) ネットワークとパブリック ( 外部 ) ネットワークとの間の中立帯に位置する別個のネットワークです この例のネットワークトポロジは 適応型セキュリティアプライアンスの DMZ 実装の大部分と類似しています Web サーバは DMZ インターフェイス上にあり 内部ネットワークおよび外部ネットワークの両方の HTTP クライアントが Web サーバに安全にアクセスできます 図 4 では 内部ネットワーク上の HTTP クライアント ( ) は DMZ Web サーバ ( ) と HTTP 通信を開始しています インターネット上のすべてのクライアントが DMZ Web サーバに HTTP アクセスできます それ以外の通信はすべて拒否されます ネットワークは ~ のアドレスの IP プールを使用するように設定されています (IP プールは DMZ インターフェイスで使用可能な IP アドレスの範囲です ) 14

15 図 4 DMZ 設定シナリオのネットワークレイアウト HTTP ASA DMZ HTTP HTTP Web DMZ Web サーバはプライベート DMZ ネットワーク上にあるため プライベート IP アドレスをパブリック ( ルーティングが可能な )IP アドレスに変換する必要があります 外部クライアントはこのパブリックアドレスを使用して インターネット上のすべてのサーバにアクセスする場合と同様に DMZ Web サーバにアクセスできます 図 4 に示されている DMZ 設定シナリオには だれでも使用できるルーティング可能な 2 つの IP アドレスがあります 1 つは適応型セキュリティアプライアンスの外部インターフェイス用 ( ) もう 1 つは DMZ Web サーバのパブリック IP アドレス用 ( ) です 次の手順では ASDM を使用して HTTP クライアントと Web サーバとの間にセキュアな通信を確立するよう適応型セキュリティアプライアンスを設定する方法を示します この DMZ シナリオでは 適応型セキュリティアプライアンスにはすでに dmz と呼ばれる外部インターフェイスが設定されています Startup Wizard を使用して 適応型セキュリティアプライアンスの DMZ のインターフェイスを設定します セキュリティレベルを 0 ~ 100 の間に設定していることを確認します ( 通常は 50) 15

16 収集する情報 この設定手順を開始する前に 次の情報を収集します パブリックネットワーク上のクライアントに対して使用可能にする DMZ 内のサーバの内部 IP アドレス ( このシナリオでは Web サーバ ) DMZ 内のサーバのために使用される外部 IP アドレス ( パブリックネットワーク上のクライアントは外部 IP アドレスを使用して DMZ 内のサーバにアクセスします ) 発信トラフィックで内部 IP アドレスの代わりになるクライアント IP アドレス ( 内部 IP アドレスが公開されないように 発信クライアントトラフィックはこのアドレスから発信されたように表示されます ) 手順 1: ネットワーク変換用の IP プールを設定する 内部 HTTP クライアント ( ) が DMZ ネットワーク上の Web サーバ ( ) にアクセスするには DMZ インターフェイスの IP アドレス ( ~ ) のプールを定義する必要があります 同様に 内部 HTTP クライアントがパブリックネットワーク上のデバイスと通信するには 外部インターフェイス ( ) の IP プールが必要です IP プールを効率的に管理し 保護されたネットワーククライアントとインターネット上のデバイス間のセキュアな通信を容易にするには ASDM を使用します 1. Web ブラウザのアドレスフィールドに工場出荷時のデフォルト IP アドレス を入力して ASDM を起動します ( 注 ) https の s を付け忘れると 接続は失敗します HTTPS(HTTP over SSL) を使用すると ブラウザと適応型セキュリティアプライアンスとの間の安全な接続が可能になります 16

17 2. ASDM ウィンドウの最上部にある Configuration をクリックします 3. ASDM ウィンドウの左側にある NAT 機能を選択します 4. ASDM ウィンドウの下部にある Manage Pools をクリックします Manage Global Address Pools ダイアログボックスが表示され グローバルアドレスプールを追加または編集できます 17

18 ( 注 ) 大部分の設定では グローバルプールは 低セキュリティインターフェイスつまりパブリックインターフェイスに対して追加されます 5. Manage Global Address Pools ダイアログボックスで次の操作を実行します a. dmz インターフェイスを選択します ( この手順を開始する前に Startup Wizard を使用して設定済みのもの ) b. Add をクリックします Add Global Pool Item ダイアログボックスが表示されます 18

19 6. Add Global Pool Item ダイアログボックスで次の操作を実行します a. Interface ドロップダウンメニューから dmz を選択します b. IP アドレスの範囲を入力するために Range をクリックします c. DMZ インターフェイスの IP アドレスの範囲を入力します このシナリオでは 範囲は ~ です d. 一意のプール ID を入力します このシナリオでは プール ID は 200 です e. OK をクリックして Manage Global Address Pools ダイアログボックスに戻ります ( 注 ) DMZ インターフェイスに使用可能な限定 IP アドレスがある場合は Port Address Translation (PAT) または Port Address Translation (PAT) using the IP address of the interface を選択することもできます 7. Manage Global Address Pools ダイアログボックスで次の操作を実行します a. outside インターフェイスを選択します b. Add をクリックします 19

20 8. Add Global Pool Item ダイアログボックスが表示されたら 次の操作を実行します a. Interface ドロップダウンメニューから outside を選択します b. Port Address Translation (PAT) using the IP address of the interface をクリックします c. ステップ 6d で割り当てたのと同じプール ID をこのプールに割り当てます ( このシナリオで は プール ID は 200 になります ) d. OK をクリックします 表示される設定は次のようになります 9. 設定値が正しいことを確認し 次の操作を実行します a. OK をクリックします b. メイン ASDM ウィンドウで Apply をクリックします ( 注 ) 使用可能なパブリック IP アドレスは 2 つだけで そのうち 1 つは DMZ サーバ用に予約されているため 内部 HTTP クライアントによって開始されるトラフィックはすべて 外部インターフェイス IP アドレスを使用して適応型セキュリティアプライアンスから送信されます この設定では 内部クライアントからのトラフィックはインターネットとの間でルーティングされます 20

21 手順 2: プライベートネットワークでのアドレス変換を設定する Network Address Translation(NAT; ネットワークアドレス変換 ) では 適応型セキュリティアプライアンスの 2 つのインターフェイス間で交換されるネットワークトラフィックの送信元 IP アドレスが置き換えられます この変換では パブリックネットワーク経由のルーティングが可能になりますが 内部 IP アドレスはパブリックネットワーク上で公開されません Port Address Translation(PAT; ポートアドレス変換 ) は NAT の拡張機能です この機能を使用すると プライベートネットワーク上の複数のホストをパブリックネットワークの単一の IP アドレスにマッピングできます PAT は 使用可能なパブリック IP アドレスの数が制限されている中小規模の企業にとって不可欠です 内部インターフェイスと内部 HTTP クライアントの DMZ インターフェイスとの間に NAT を設定するには メイン ASDM ページから始まる次の手順に従います 1. ASDM ウィンドウの最上部にある Configuration をクリックします 2. ASDM ウィンドウの左側にある NAT 機能を選択します 3. Translation Rules をクリックし 次に ASDM ページの右側にある Add をクリックします 4. Add Address Translation Rule ダイアログボックスで Use NAT が選択されていることを確認し inside インターフェイスを選択します 21

22 5. 内部クライアントの IP アドレスを入力します このシナリオでは IP アドレスは です 6. Mask ドロップダウンメニューから を選択します 7. Translate Address on Interface ドロップダウンメニューから DMZ インターフェイスを選択します 8. Translate Address To セクションで Dynamic をクリックします 9. プール ID の Address Pools ドロップダウンメニューから 200 を選択します 10. OK をクリックします 11. 操作を続行するかどうかを確認するダイアログボックスが表示されます Proceed をクリックします 12. NAT Translation Rules ページで 表示されている設定が正しいかどうかを確認します 13. Apply をクリックして 適応型セキュリティアプライアンスの設定変更を終了します 22

23 表示される設定は次のようになります 手順 3:DMZ Web サーバの外部 ID を設定する DMZ Web サーバは インターネット上のすべてのホストから容易にアクセスできる必要があります この設定では Web サーバの IP アドレスを変換してインターネット上に存在しているように表示し 外部 HTTP クライアントが適応型セキュリティアプライアンスに気付かずに Web サーバにアクセスできるようにする必要があります Web サーバの IP アドレス ( ) をパブリック IP アドレス ( ) にスタティックにマッピングするには 次の手順に従います 1. ASDM ウィンドウの最上部にある Configuration をクリックします 2. ASDM ウィンドウの左側にある NAT 機能を選択します 3. Translation Rules をクリックし 次にページの右側にある Add をクリックします 4. インターフェイスのドロップダウンリストから外部 dmz インターフェイスを選択します 5. Web サーバの IP address( ) を入力します 23

24 6. Mask ドロップダウンメニューから を選択し 次に Static をクリックします 7. Web サーバの外部 IP アドレス ( ) を入力します 次に OK をクリックします 8. 入力した値を確認し Apply をクリックします 表示される設定は次のようになります 24

25 手順 4:DMZ Web サーバへの HTTP アクセスを可能にする デフォルトでは 適応型セキュリティアプライアンスは パブリックネットワークから着信するトラフィックをすべて拒否します 適応型セキュリティアプライアンスにアクセスコントロールルールを作成し パブリックネットワークから適応型セキュリティアプライアンスを経由して DMZ のリソースに到達する特定のトラフィックタイプを許可する必要があります インターネット上のすべてのクライアントが DMZ 内の Web サーバにアクセスできるように 適応型セキュリティアプライアンス経由の HTTP トラフィックを許可するアクセスコントロールルールを設定するには 次の手順に従います 1. ASDM ウィンドウで次の操作を実行します a. Configuration をクリックします b. ASDM 画面の左側にある Security Policy を選択します c. テーブルで Add をクリックします 2. Add Access Rule ダイアログボックスで次の操作を実行します a. Action で ドロップダウンメニューから permit を選択し 適応型セキュリティアプライアン スを経由するトラフィックを許可します b. Source Host/Network で IP Address をクリックします c. Interface ドロップダウンメニューから outside を選択します d. Source Host/Network 情報の IP アドレスを入力します ( を使用して すべてのホストま たはネットワークから発信されたトラフィックを許可します ) e. Destination Host/Network で IP Address をクリックします f. Interface ドロップダウンメニューから dmz インターフェイスを選択します g. IP address フィールドに Web サーバなどの宛先ホストまたはネットワークの IP アドレスを入 力します ( このシナリオでは Web サーバの IP アドレスは です ) h. Mask ドロップダウンメニューから を選択します ( 注 ) または どちらの場合もそれぞれ Browse ボタンをクリックして ホストまたはネットワークを選択することもできます 25

26 3. 許可するトラフィックのタイプを指定します ( 注 ) HTTP トラフィックは常に 任意の TCP 送信元ポート番号から固定の宛先ポート番号 80 に向けられます a. Protocol and Service で TCP をクリックします b. Source Port で Service ドロップダウンメニューから = ( 等しい ) を選択します c. 省略記号 (...) が付いたボタンをクリックし オプションをスクロールして Any を選択します d. Destination Port で Service ドロップダウンメニューから = ( 等しい ) を選択します e. 省略記号 (...) が付いたボタンをクリックし オプションをスクロールして HTTP を選択しま す 26

27 f. OK をクリックします ( 注 ) ACL によるロギングシステムメッセージなどの追加機能については 画面上部にある More Options をクリックします 下部にあるダイアログボックスにアクセスルールの名前を入力できます g. 入力した情報が正しいことを確認し OK をクリックします ( 注 ) 指定された宛先アドレスは DMZ Web サーバのプライベートアドレス ( ) ですが インターネット上の任意のホストから 宛ての HTTP トラフィックは 適応型セキュリティアプライアンス経由で許可されます アドレス変換 ( = ) により トラフィックが許可されます h. メインウィンドウで Apply をクリックします 表示される設定は次のようになります 27

28 これで プライベートネットワークおよびパブリックネットワーク上の HTTP クライアントが DMZ Web サーバに安全にアクセスできるようになりました シナリオ 2: リモートアクセス VPN リモートアクセス Virtual Private Network(VPN; バーチャルプライベートネットワーク ) では オフサイトのユーザにセキュアなアクセスを提供できます ASDM を使用すると 適応型セキュリティアプライアンスを設定して インターネットを越えてセキュアな接続 ( トンネル ) を作成できます 図 5 に インターネットを越えて VPN クライアントからの要求を受け入れ VPN クライアントとセキュアな接続を確立するように設定された適応型セキュリティアプライアンスを示します 図 5 リモートアクセス VPN シナリオのネットワークレイアウト DNS ASA VPN VPN 2 WINS VPN ASDM VPN Wizard を使用すると 一連の簡単な手順で 適応型セキュリティアプライアンスをリモートアクセス VPN ヘッドエンドデバイスとして設定できます 28

29 手順 1: 適応型セキュリティアプライアンスをリモートアクセス VPN 用に設定する 1. Web ブラウザのアドレスフィールドに工場出荷時のデフォルト IP アドレス を入力して ASDM を起動します 2. メイン ASDM ページで Wizards ドロップダウンメニューから VPN Wizard オプションを選択します VPN Wizard Step 1 ウィンドウが表示されます 3. VPN Wizard の Step 1 で 次の手順に従います a. Remote Access VPN オプションを選択します b. ドロップダウンメニューから 着信 VPN トンネルで有効なインターフェイスとして outside を 選択します c. Next をクリックして続行します 29

30 手順 2:VPN クライアントを選択する 1. VPN Wizard の Step 2 では オプションボタンをクリックして リモートアクセスユーザが Cisco VPN クライアントまたはその他の Easy VPN Remote 製品のいずれかを使用して適応型セキュリティアプライアンスに接続できるようにします ( 注 ) 現在この画面には 1 つの選択肢しか表示されていませんが 他のトンネルタイプが使用可能になると簡単にイネーブルにできるように設定されています 2. Next をクリックして続行します 30

31 手順 3:VPN トンネルグループ名および認証方式を指定する VPN Wizard の Step 3 で 次の手順に従います 1. 共通の接続パラメータおよびクライアントアトリビュートを使用する複数ユーザのセットに Tunnel Group Name( CiscoASA など ) を入力します 2. 次のいずれかの操作を実行して 使用する認証のタイプを指定します - 認証にスタティック事前共有キーを使用するには Pre-Shared Key をクリックし キー ( CisCo など) を入力します - 認証にデジタル証明書を使用するには Certificate をクリックし ドロップダウンメニューから証明書署名アルゴリズム (rsa-sig/dsa-sig) を選択し 次に 事前設定されているトラストポイント名をドロップダウンメニューから選択します 3. Next をクリックして続行します 31

32 手順 4: ユーザ認証方式を指定する ユーザの認証は ローカル認証データベース または外部の Authentication, Authorization, and Accounting (AAA; 認証 認可 アカウンティング ) サーバを使用して実行できます (AAA サーバには RADIUS TACACS+ SDI NT および Kerberos があります ) VPN Wizard の Step 4 で 次の手順に従います 1. 適切なオプションボタンをクリックして 使用するユーザ認証のタイプを選択します - ローカル認証データベース - 外部の AAA サーバグループ 2. 事前設定されているサーバグループをドロップダウンリストから選択するか New をクリックして新しいサーバグループを追加します 3. Next をクリックして続行します 32

33 手順 5: 必要に応じてユーザアカウントを設定する ローカルユーザデータベースを使用してユーザを認証する場合は VPN Wizard の Step 5 で個々のユーザアカウントを作成します 1. 新しいユーザを追加するには ユーザ名とパスワードを入力し Add をクリックします 2. 新しいユーザの追加が終了したら Next をクリックして続行します 33

34 手順 6: アドレスプールを設定する リモートクライアントがネットワークにアクセスするには 接続に成功したときにリモート VPN クライアントに割り当てられる可能性のある IP アドレスのプールを設定する必要があります このシナリオでは プールは ~ の範囲の IP アドレスを使用するように設定します アドレスプールを設定するには 次の手順に従います 1. プール名を入力するか 事前設定されているプールをドロップダウンリストから選択します 2. プールで使用する IP アドレスの範囲の最初の値を入力します 3. プールで使用する IP アドレスの範囲の最後の値を入力します 4. サブネットマスクを入力するか 事前設定されている値をドロップダウンリストから選択します 5. Next をクリックして続行します 34

35 手順 7: クライアントアトリビュートを設定する 各リモートアクセスクライアントがネットワークにアクセスするには 使用する DNS サーバと WINS サーバ デフォルトのドメイン名などの基本的なネットワーク設定情報が必要です 各リモートクライアントを個々に設定するのではなく ASDM にクライアント情報を設定できます 接続が確立されると 適応型セキュリティアプライアンスはこの情報をリモートクライアントに適用します 必ず正しい値を指定してください 値が正しくない場合 リモートクライアントが解決に DNS 名を使用できない または Windows ネットワーキングを使用できないという問題が発生します VPN Wizard の Step 7 で 次の手順に従います 1. リモートクライアントで使用するネットワーク設定情報を入力します 2. Next をクリックして続行します 35

36 手順 8:IKE ポリシーを設定する IKE は データを保護しプライバシーを保証する暗号化方式を含むネゴシエーションプロトコルで ピアの ID を確認する認証方式でもあります ほとんどの場合 ASDM のデフォルト値を使用すれば 十分にセキュアな VPN トンネルを確立できます IKE ポリシーを指定するには 次の手順に従います 1. IKE セキュリティアソシエーションにおいて適応型セキュリティアプライアンスが使用する暗号化アルゴリズム (DES 3DES または AES) 認証アルゴリズム (MD5 または SHA) および Diffie-Hellman グループ (1 2 5 または 7) を選択します 2. Next をクリックして続行します 36

37 手順 9:IPSec の Encryption パラメータおよび Authentication パラメータを設定する 1. 暗号化アルゴリズム (DES 3DES または AES) および認証アルゴリズム (MD5 または SHA) を選択します 2. Next をクリックして続行します 37

38 手順 10: アドレス変換の例外およびスプリットトンネリングを設定する 適応型セキュリティアプライアンスは NAT を使用して 内部 IP アドレスが外部に公開されないようにしています 認証されたリモートユーザに公開するローカルホストおよびネットワークを特定することで このネットワーク保護に例外を設定できます 公開するリソースを ホストやネットワーク IP アドレス 名前 またはグループで指定します ( このシナリオでは 内部ネットワーク 全体がすべてのリモートクライアントに公開されます ) VPN Wizard の Step 10 で ホスト グループ およびネットワークを Selected パネルに対して動的に追加または削除します 1. 必要に応じて Add または Delete をクリックします ( 注 ) 画面下部のチェックボックスをオンにすると スプリットトンネリングがイネーブルになります スプリットトンネリングを使用すると 設定したネットワークの外部のトラフィックは 暗号化された VPN トンネルを経由せずにインターネットに直接送信されます 2. リモートクライアントに公開するリソースを指定したら Next をクリックして続行します 38

39 手順 11: リモートアクセス VPN 設定を確認する 作成した VPN トンネルの設定アトリビュートを確認します 表示される設定は次のようになります 適切に設定されている場合は Finish をクリックしてウィザードを終了し 適応型セキュリティアプライアンスに設定変更を適用します 39

40 シナリオ 3: サイトツーサイト VPN 設定 適応型セキュリティアプライアンスに備わっているサイトツーサイト VPN 機能を使用すると 企業はネットワークセキュリティを維持したまま ネットワークを拡張してビジネスパートナーや世界中のリモートオフィスとの間で低コストのパブリックインターネット接続を実現できます VPN 接続では セキュアな接続 つまり トンネル 経由で 1 つの場所から別の場所へデータを送信できます これは まず接続の両端を認証し 次に 2 つのサイト間で送信されるすべてのデータを自動的に暗号化することによって可能になります 図 6 に 2 つの適応型セキュリティアプライアンス間の VPN トンネルの例を示します 図 6 サイトツーサイト VPN 設定シナリオのネットワークレイアウト A B ASA 1 ASA 図 6 のような VPN サイトツーサイト構成を作成するには 2 台の適応型セキュリティアプライアンスを設定する必要があります ( 接続のそれぞれの側に 1 台ずつ ) ASDM には サイトツーサイト VPN の設定プロセスを説明する設定ウィザードが用意されています 手順 1: 適応型セキュリティアプライアンスを 1 つ目のサイトで設定する 適応型セキュリティアプライアンスを 1 つ目のサイトで設定します このシナリオにおける 1 つ目のサイトは ASA セキュリティアプライアンス 1 で 以降は ASA 1 と呼びます 1. Web ブラウザのアドレスフィールドに工場出荷時のデフォルト IP アドレス を入力して ASDM を起動します 40

41 2. メイン ASDM ページで Wizards ドロップダウンメニューから VPN Wizard オプションを選択します ASDM で 最初の VPN Wizard ページが開きます VPN Wizard の最初のページで 次の手順に従います a. Site-to-Site VPN オプションを選択します ( 注 ) Site-to-Site VPN オプションを選択すると 2 つの IPSec セキュリティゲートウェイが接続されますが これには適応型セキュリティアプライアンス VPN コンセントレータ またはサイトツーサイト IPSec 接続をサポートするその他のデバイスが含まれる可能性があります b. ドロップダウンメニューから 現在の VPN トンネルで有効なインターフェイスとして outside を選択します 41

42 c. Next をクリックして続行します 手順 2:VPN ピアに関する情報を入力する VPN ピアは 設定している接続のもう一方の端にあるシステムで 通常はリモートサイトにあります VPN Wizard の 2 ページで リモート VPN ピアに関する情報を入力します このシナリオでは リモート VPN ピアは ASA セキュリティアプライアンス 2 で 以降は ASA 2 と呼びます 次の手順に従います 1. ピアの IP アドレス (ASA 2) およびトンネルグループ名を入力します 2. 次のいずれかの操作を実行して 使用する認証のタイプを指定します - 認証に事前共有キー ( CisCo など ) を使用するには Pre-Shared Key オプションボタンをクリックし 両方の適応型セキュリティアプライアンス間の IPSec ネゴシエーションで共有される事前共有キーを入力します ( 注 ) リモートサイトで ASA 2 を設定する場合 VPN ピアは ASA 1 です ここで指定するのと同じ Pre-shared Key(CisCo) を入力してください 42

43 - 認証にデジタル証明書を使用するには Certificate オプションボタンをクリックし ドロップダウンメニューからトラストポイント名を選択します 3. Next をクリックして続行します 43

44 手順 3:IKE ポリシーを設定する IKE は データを保護しプライバシーを保証する暗号化方式を含むネゴシエーションプロトコルで ピアの ID を確認する認証方式でもあります ほとんどの場合 ASDM のデフォルト値を使用すれば 十分にセキュアな VPN トンネルを 2 つのピア間に確立できます IKE ポリシーを指定するには 次の手順に従います 1. IKE セキュリティアソシエーションにおいて適応型セキュリティアプライアンスが使用する暗号化アルゴリズム (DES 3DES または AES) 認証アルゴリズム (MD5 または SHA) および Diffie-Hellman グループ (1 2 または 5) を選択します ( 注 ) ASA 2 を設定する場合は ASA 1 で選択した各オプションと同じ値を正確に入力します VPN トンネルが失敗し 処理速度を低下させる一般的な原因は 暗号化の不整合です 2. Next をクリックして続行します 44

45 手順 4:IPSec の Encryption パラメータおよび Authentication パラメータを設定する 1. 暗号化アルゴリズム (DES 3DES または AES) および認証アルゴリズム (MD5 または SHA) を選択します 2. Next をクリックして続行します 手順 5: ローカルホストおよびネットワークを指定する リモートサイトピアとの通信にこの IPSec トンネルを使用することを許可するローカルサイトのホストおよびネットワークを指定します ( リモートサイトピアは後の手順で指定します ) VPN Wizard の 5 ページで Add または Delete をクリックして ホストおよびネットワークを動的に追加または削除します 現在のシナリオでは ネットワーク A( ) からのトラフィックは ASA 1 によって暗号化され VPN トンネル経由で送信されます 45

46 VPN Wizard の 5 ページで IPSec トンネルへのアクセスを許可するローカルホストまたはネットワークを指定します 次の手順に従います 1. IP Address をクリックします 2. ドロップダウンメニューから インターフェイスとして inside または outside のいずれかを選択します 3. IP アドレスとマスクを入力します 4. Add をクリックします 5. トンネルへのアクセスを許可するホストまたはネットワークごとに ステップ 1 ~ ステップ 4 を繰り返します 6. Next をクリックして続行します 46

47 手順 6: リモートホストおよびネットワークを指定する 手順 5 で設定した ローカルホストおよびネットワークとの通信にこの IPSec トンネルを使用することを許可するリモートサイトのホストおよびネットワークを指定します Add または Delete をクリックして ホストおよびネットワークを動的に追加または削除します 現在のシナリオにおいて ASA 1 では リモートネットワークはネットワーク B( ) で このネットワークからの暗号化されたトラフィックはトンネル経由で許可されます IPSec トンネルへのアクセスを許可するリモートホストまたはネットワークを指定するには 次の手順に従います 1. IP Address をクリックします 2. Interface ドロップダウンメニューから インターフェイスとして inside または outside のいずれかを選択します 3. IP アドレスとマスクを入力します 4. Add をクリックします 5. トンネルへのアクセスを許可するホストまたはネットワークごとに ステップ 1 ~ ステップ 4 を繰り返します 47

48 6. Next をクリックして続行します 48

49 手順 7:VPN アトリビュートを表示してウィザードを終了する 作成した VPN トンネルの設定リストを確認します 適切に設定されている場合は Finish をクリックして 適応型セキュリティアプライアンスに設定変更を適用します この操作により ASA 1 の設定プロセスが終了します 49

50 次の作業 これで ローカルの適応型セキュリティアプライアンスの設定は完了です 次は リモートサイトで適応型セキュリティアプライアンスを設定する必要があります リモートサイトでは VPN ピアとしての役割を果たす 2 つ目の適応型セキュリティアプライアンスを設定します 設定手順は ローカルの適応型セキュリティアプライアンスを設定する場合と同じです P.40 の 手順 1: 適応型セキュリティアプライアンスを 1 つ目のサイトで設定する から開始し P.49 の 手順 7:VPN アトリビュートを表示してウィザードを終了する で終了します ( 注 ) ASA 2 を設定する場合は ASA 1 で選択した各オプションと同じ値を正確に入力します VPN 構成が失敗する一般的な原因は 不整合です 50

51 5 オプションの SSM 設定と構成の手順 適応型セキュリティアプライアンスは シャーシに接続して追加機能を提供するオプションの Security Service Module(SSM; セキュリティサービスモジュール ) をサポートしています この項では 4GE SSM と AIP SSM の設定と構成の手順について説明します 4GE SSM の手順 4GE SSM には 8 個のイーサネットポートがあります 10/100/1000 Mbps 用 銅線の RJ-45 ポートが 4 個 および 1000 Mbps 用着脱可能小型フォームファクタ (SFP) ファイバポートが 4 個です 同じ 4GE カードを使用して 銅線ポートとファイバポートを混合させることができます 4GE SSM を購入された場合は この項で示す手順を使用して次の作業を実行します 使用するインターフェイスをケーブル接続する 使用する SFP インターフェイスのメディアタイプ設定を変更する ( 注 ) デフォルトのメディアタイプ設定はイーサネットであるため イーサネットインターフェイスを使用する場合はメディアタイプ設定を変更する必要がありません 手順 1:4GE SSM インターフェイスをケーブル接続する 4GE SSM インターフェイスをケーブル接続するには ネットワークデバイスに接続するポートごとに次の手順に従います ステップ 1 RJ-45( イーサネット ) インターフェイスをネットワークデバイスに接続するには インターフェイスごとに次の作業を実行します a. アクセサリキットから黄色のイーサネットケーブルを見つけます b. ケーブルの一方の端を 4GE SSM のイーサネットポートに接続します 51

52 図 7 イーサネットポートへの接続 LNK SPD Cisco SSM-4GE 1 POWER STATUS MGMT MGMT USB2 USB2 USB RJ-45( イーサネット ) ポート c. ケーブルのもう一方の端をネットワークデバイスに接続します ステップ 2 ( オプション )SFP( 光ファイバ ) ポートを使用する場合は SFP モジュールを取り付け ケーブル接続します ( 図 8 を参照してください ) a. SFP モジュールを カチッという音が聞こえるまで SFP ポートに差し込み スライドさせます カチッという音は SFP モジュールがポートにロックされたことを示します b. 取り付けた SFP から光ポートプラグを取り外します c. 4GE SSM のアクセサリキットから LC コネクタ ( 光ファイバケーブル ) を見つけます d. LC コネクタを SFP ポートに接続します 52

53 図 8 LC コネクタの接続 LNK SPD Cisco SSM-4GE POWER STATUS MGMT MGMT USB2 USB2 USB LC コネクタ 2 SFP モジュール e. LC コネクタのもう一方の端をネットワークデバイスに接続します SFP ポートをネットワークデバイスに接続したら 各 SFP インターフェイスのメディアタイプ設定を変更する必要もあります 次の 手順 2:( オプション ) ファイバインターフェイスの 4GE SSM メディアタイプを設定する を実行します 手順 2:( オプション ) ファイバインターフェイスの 4GE SSM メディアタイプを設定する SFP インターフェイスの場合 それぞれのメディアタイプ設定をデフォルト設定 ( イーサネット ) からファイバコネクタに変更する必要があります ( 注 ) デフォルトのメディアタイプ設定はイーサネットであるため イーサネットインターフェイスを使用する場合はメディアタイプ設定を変更する必要がありません 53

54 ASDM を使用する SFP インターフェイスのメディアタイプを設定するには メイン ASDM ページから始まる次の手順に従います ステップ 1 ステップ 2 ステップ 3 ステップ 4 ステップ 5 ステップ 6 ステップ 7 ASDM ウィンドウの最上部にある Configuration をクリックします ASDM ウィンドウの左側にある Interfaces 機能を選択します 4GE SSM インターフェイスを選択し Edit をクリックします Edit Interface ダイアログボックスが表示されます Configure Hardware Properties をクリックします Hardware Properties ダイアログボックスが表示されます Media Type ドロップダウンメニューをクリックし Fiber Connector を選択します OK をクリックして Edit Interfaces ダイアログボックスに戻り 次に OK をクリックしてインターフェイス設定のダイアログボックスに戻ります この手順を 各 SFP インターフェイスに対して繰り返します メディアタイプはコマンドラインから設定することもできます 詳細については Cisco Security Appliance Command Line Configuration Guide の Configuring Ethernet Settings and Subinterfaces を参照してください 54

55 AIP SSM の手順 オプションの AIP SSM は インラインモードまたは混合モードで追加のセキュリティ検査を提供する高度な IPS ソフトウェアを実行します セキュリティアプライアンスは パケットが出力インターフェイスから送信される直前 ( または VPN 暗号化が設定されている場合は暗号化が行われる前 ) および他のファイアウォールポリシーが適用された後に パケットを AIP SSM に転送します たとえば アクセスリストによってブロックされたパケットは AIP SSM に転送されません AIP SSM を購入された場合は この項で示す手順を使用して次の作業を実行します 管理インターフェイスをケーブル接続する AIP SSM に転送するトラフィックを指定するように適応型セキュリティアプライアンスを設定する AIP SSM へのセッションを確立し セットアップを実行する AIP SSM で実行される IPS ソフトウェアには多数の機能があり このマニュアルではそれらの機能について説明していません 詳細な設定情報については 次の別マニュアルを参照してください Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface Cisco Intrusion Prevention System Command Reference 手順 1:AIP SSM 管理インターフェイスをケーブル接続する AIP SSM 管理インターフェイスをケーブル接続するには 次の手順に従います ステップ 1 アクセサリキットから黄色のイーサネットケーブルを見つけます ステップ 2 ケーブルの一方の端を AIP SSM の管理ポートに接続します ( 図 9 を参照してください ) ステップ 3 ケーブルのもう一方の端をネットワークデバイスに接続します 55

56 図 9 管理ポートへの接続 POWER STATUS LINK ACT SPEED MGMT USB2 USB 管理ポート 2 RJ-45/RJ-45 ケーブル 手順 2:AIP SSM にトラフィックを転送するように ASA 5500 を設定する セキュリティアプライアンスから AIP SSM に転送するトラフィックを指定するには 次の手順に従います ステップ 1 ステップ 2 AIP SSM に転送するトラフィックを指定するには class-map コマンドを使用してクラスマップを追加します 詳細については Cisco Security Appliance Command Line Configuration Guide の Using Modular Policy Framework を参照してください クラスマップトラフィックを使用して実行するアクションを設定するポリシーマップを追加または編集するには 次のコマンドを入力します hostname(config)# policy-map name 56

57 ステップ 3 アクションを割り当てるクラスマップ ( ステップ 1 で追加したもの ) を指定するには 次のコマンドを入力します hostname(config-pmap)# class class_map_name ステップ 4 AIP SSM にトラフィックを割り当てるには 次のコマンドを入力します hostname(config-pmap-c)# ips {inline promiscuous} {fail-close fail-open} inline キーワードを指定すると AIP SSM が直接トラフィックフローに置かれます まず AIP SSM を通過し そこで検査されなければ トラフィックはセキュリティアプライアンスを通過できません すべてのパケットは分析されたうえで通過を許可されるので このモードは最も安全です また AIP SSM では パケットごとにブロッキングポリシーを実装できます ただし このモードはスループットに影響を与える可能性があります promiscuous キーワードを指定すると トラフィックの重複したストリームが AIP SSM に送信されます このモードは安全性は劣りますが トラフィックのスループットにはほとんど影響を与えません インラインモードと異なり AIP SSM がトラフィックをブロックできるのは トラフィックを shun するようセキュリティアプライアンスに指示するか セキュリティアプライアンスで接続をリセットする場合のみです さらに AIP SSM がトラフィックを分析している間 AIP SSM がブロックする前に少量のトラフィックがセキュリティアプライアンスを通過する場合があります fail-close キーワードを指定すると AIP SSM が使用できない場合 セキュリティアプライアンスはすべてのトラフィックをブロックするように設定されます fail-open キーワードを指定すると AIP SSM が使用できない場合 セキュリティアプライアンスはすべてのトラフィックの通過を検査なしで許可するように設定されます ステップ 5 1 つまたは複数のインターフェイスでポリシーマップを有効にするには 次のコマンドを入力します hostname(config)# service-policy policymap_name {global interface interface_name} global を指定すると すべてのインターフェイスにポリシーマップが適用され interface を指定すると 1 つのインターフェイスにポリシーが適用されます 使用できるグローバルポリシーは 1 つに限られます インターフェイスのグローバルポリシーを無効にするには そのインターフェイスにサービスポリシーを適用します 各インターフェイスに適用できるポリシーマップは 1 つだけです 57

58 次の例では すべての IP トラフィックは AIP SSM に混合モードで転送され 何らかの原因で AIP SSM カードに障害が発生した場合 IP トラフィックはすべてブロックされます hostname(config)# access-list IPS permit ip any any hostname(config)# class-map my-ips-class hostname(config-cmap)# match access-list IPS hostname(config-cmap)# policy-map my-ids-policy hostname(config-pmap)# class my-ips-class hostname(config-pmap-c)# ips promiscuous fail-close hostname(config-pmap-c)# service-policy my-ips-policy global 手順 3:AIP SSM へのセッションを確立し セットアップを実行する トラフィックを AIP SSM に転送するように ASA 5500 シリーズ適応型セキュリティアプライアンスを設定し終えたら AIP SSM へのセッションを確立して初期設定用のセットアップユーティリティを実行します ( 注 ) 適応型セキュリティアプライアンスから (session 1 コマンドを使用して )AIP SSM へのセッションを確立することも 管理インターフェイス上で SSH または Telnet を使用して直接 AIP SSM に接続することもできます または ASDM の使用も可能です 適応型セキュリティアプライアンスから AIP SSM にセッションを確立するには 次の手順に従います ステップ 1 ASA 5500 シリーズ適応型セキュリティアプライアンスから AIP SSM にセッションを確立するには session 1 コマンドを入力します hostname# session 1 Opening command session with slot 1. Connected to slot 1. Escape character sequence is 'CTRL-^X'. ステップ 2 ユーザ名とパスワードを入力します デフォルトのユーザ名とパスワードはどちらも cisco です ( 注 ) AIP SSM に初めてログインしたとき デフォルトのパスワードを変更するよう求められます パスワードは 8 文字以上で 意味を持たない言葉である必要があります 58

59 login: cisco Password: Last login: Fri Sep 2 06:21:20 from xxx.xxx.xxx.xxx ***NOTICE*** This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: If you require further assistance please contact us by sending to export@cisco.com. ***LICENSE NOTICE*** There is no license key installed on the system. Please go to to obtain a new license or install a license. AIP SSM# ( 注 ) 一部のソフトウェアバージョンのみに表示されるこのライセンス通知が表示された場合 AIP SSM のシグニチャファイルのアップグレードが必要になるまでメッセージを無視できます 有効なライセンスキーがインストールされるまで AIP SSM は現在のシグニチャレベルで動作します ライセンスキーは後でインストールできます ライセンスキーは AIP SSM の現在の機能に影響を与えません ステップ 3 setup コマンドを入力して AIP SSM の初期設定用のセットアップユーティリティを実行します AIP SSM# setup 59

60 次の作業 これで AIP SSM に侵入防御を設定する準備ができました AIP SSM の設定情報については 次のマニュアルを参照してください Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface Cisco Intrusion Prevention System Command Reference 60

61 6 オプションのメンテナンスとアップグレードの手順 DES および 3DES/AES の暗号化ライセンスの取得 適応型セキュリティアプライアンスでは オプションで DES または 3DES/AES のライセンスを購入して セキュアリモート管理 (SSH ASDM など ) サイトツーサイト VPN リモートアクセス VPN などの暗号化テクノロジーを利用した特定の機能をイネーブルにできます ライセンスをイネーブルにするには 暗号化ライセンスキーが必要です DES または 3DES/AES のライセンス付きの適応型セキュリティアプライアンスを注文された場合 暗号化ライセンスキーは適応型セキュリティアプライアンスに付属しています DES または 3DES/AES のライセンスがない適応型セキュリティアプライアンスを注文され 新たに購入を希望される場合 暗号化ライセンスは Cisco.com で無料で入手できます Cisco.com の登録ユーザの場合 DES または 3DES/AES の暗号化ライセンスを入手するには 次の Web サイトにアクセスしてください Cisco.com の登録ユーザでない場合は 次の Web サイトにアクセスしてください 姓名 電子メールアドレス および show version コマンド出力で表示される適応型セキュリティアプライアンスのシリアル番号を入力してください ( 注 ) ライセンスアップグレードを請求後 2 時間以内に 適応型セキュリティアプライアンスの新しいアクティベーションキーが送信されます アクティベーションキーの例またはソフトウェアのアップグレードの詳細については Cisco Security Appliance Command Line Configuration Guide を参照してください 61

62 アクティベーションキーを使用するには 次の手順に従います コマンド 目的 ステップ 1 hostname# show version ソフトウェアリリース ハードウェアコンフィギュレーション ライセンスキー および関連の動作期間データを表示します ステップ 2 hostname# configure terminal グローバルコンフィギュレーションモードを開始します ステップ 3 hostname(config)# activation-key activation-5-tuple-key activation-4-tuple-key 変数を新しいライセンスで取得したアクティベーションキーに置き換えて 暗号化アクティベーションキーを更新します activation-5-tuple-key 変数は 5 つの要素で構成される 16 進数文字列で 各要素間には 1 つずつスペースがあります たとえば 0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e です 0x はオプションです すべての値は 16 進数であると見なされます ステップ 4 hostname(config)# exit グローバルコンフィギュレーションモードを終了し ステップ 5 hostname# copy running-config startup-config ます 設定を保存します ステップ 6 hostname# reload 適応型セキュリティアプライアンスをリブートし 設 定をリロードします 62

63 デフォルト設定の復元 設定を工場出荷時のデフォルト値に復元するには 次のいずれかの方法を使用します から Startup Wizard を起動する 次の手順で指定するとおりにコマンドラインを使用する デフォルト設定を工場出荷時のデフォルト値に復元するには 次の手順に従います ステップ 1 コマンド hostname# configure factory-default [inside_ip_address [mask]] 1 目的実行コンフィギュレーションを消去し 工場出荷時のデフォルト設定に置き換えます ステップ 2 hostname# write memory 工場出荷時のデフォルト設定をフラッシュメモリに 書き込みます 1. オプションの内部 IP アドレスおよびアドレスマスクが指定されている場合は 工場出荷時のデフォルト設定にその値が反映されます 詳細なコマンド情報および設定例については Cisco Security Appliance Command Line Configuration Guide を参照してください 技術サポートが必要なお客様は Cisco TAC Web サイトをご利用いただけます TAC Web サイトには 次の URL からアクセスしてください 63

64 LED の確認 この項では 適応型セキュリティアプライアンスの前面パネル 背面パネル およびパネルの LED について説明します 図 10 に 適応型セキュリティアプライアンスの正面図を示します 図 10 Cisco ASA 5540 適応型セキュリティアプライアンスの前面パネルの機能 CISCO ASA 5540 SERIES Adaptive Security Appliance POWER STATUS ACTIVE VPN FLASH LED 色状態説明 1 電源 緑 点灯 適応型セキュリティアプライアンスに電力が供給されている場合に点灯します 2 ステータス 緑 点滅 電源投入診断を実行中か システムがブート中です 点灯 システムが電源投入診断に合格した場合は緑色に点灯します オレンジ 点灯 電源投入診断に合格しなかった場合はオレンジ色 に点灯します 3 アクティブ 緑 点滅 ネットワークアクティビティが発生しています 4 VPN 緑点灯データがインターフェイスを通過しています 5 フラッシュ緑点灯 CompactFlash デバイスがアクセスされています 64

65 図 11 に 適応型セキュリティアプライアンスの背面パネルの機能を示します 図 11 Cisco ASA 5540 適応型セキュリティアプライアンスの背面パネルの機能 MGMT USB2 USB1 LINK SPD 3 LINK SPD 2 LINK SPD 1 LINK SPD 0 POWER STATUS FLASH ACTIVE VPN FLASH CONSOLE AUX MGMT 8 電源インジケータ 2 外部 CompactFlash デバイス 9 ステータスインジケータ 3 シリアルコンソールポート 10 アクティブ 4 電源スイッチ 11 VPN 5 電源インジケータライト 12 フラッシュ 6 USB 補助ポート 7 ネットワークインターフェイス 14 電源コネクタ 65

66 図 12 に 適応型セキュリティアプライアンスの背面パネルの LED を示します 図 12 Cisco ASA 5540 適応型セキュリティアプライアンスの背面パネルの LED MGMT USB2 USB1 LNK SPD 3 LNK SPD 2 LNK SPD 1 LNK SPD 表 1 に 適応型セキュリティアプライアンスの背面パネル LED の状態を示します 表 1 背面パネルの LED インジケータ色説明 左側緑 ( 点灯 ) 物理リンク 右側 緑 ( 点滅 ) 消灯緑オレンジ ネットワークアクティビティ 10 Mbps 100 Mbps 1000 Mbps 66

67 マニュアルの入手 シスコの製品マニュアルやその他の資料は Cisco.com でご利用いただけます また テクニカルサポートおよびその他のリソースを さまざまな方法で入手することができます ここでは シスコ製品に関する技術情報を入手する方法について説明します Cisco.com 次の URL から シスコ製品の最新資料を入手することができます シスコの Web サイトには 次の URL からアクセスしてください また シスコの Web サイトの各国語版へは 次の URL からアクセスできます シスコ製品の最新資料の日本語版は 次の URL からアクセスしてください Documentation DVD( 英語版 ) シスコ製品のマニュアルおよびその他の資料は 製品に付属の Documentation DVD パッケージでご利用いただけます Documentation DVD は定期的に更新されるので 印刷資料よりも新しい情報が得られます また この Documentation DVD パッケージのみを発注することもできます Cisco.com 登録ユーザ (Cisco Direct Customers) の場合 Ordering ツールまたは Cisco Marketplace から Cisco Documentation DVD(Product Number DOC-DOCDVD=) を発注できます Cisco Ordering ツール : Cisco Marketplace: 67

68 マニュアルの発注方法 ( 英語版 ) 英文マニュアルの発注方法については 次の URL にアクセスしてください シスコ製品の英文マニュアルは 次の方法で発注できます Cisco.com 登録ユーザ (Cisco Direct Customers) の場合 Ordering ツールからシスコ製品の英文マニュアルを発注できます 次の URL にアクセスしてください Cisco.com に登録されていない場合 製品を購入された代理店へお問い合せください シスコシステムズマニュアルセンター シスコシステムズマニュアルセンターでは シスコ製品の日本語マニュアルの最新版を PDF 形式で公開しています また 日本語マニュアル および日本語マニュアル CD-ROM もオンラインで発注可能です ご希望の方は 次の URL にアクセスしてください また シスコシステムズマニュアルセンターでは 日本語マニュアル中の誤記 誤植に関するコメントをお受けしています 次の URL の 製品マニュアル内容不良報告 をクリックすると コメント入力画面が表示されます なお 技術内容に関するお問い合せは この Web サイトではお受けできませんので 製品を購入された各代理店へお問い合せください シスコ製品のセキュリティの概要 シスコでは オンラインの Security Vulnerability Policy ポータル ( 英文のみ ) を無料で提供しています URL は次のとおりです このサイトは 次の目的に利用できます シスコ製品のセキュリティ脆弱性を報告する 68

69 シスコ製品に伴うセキュリティ事象についてサポートを受ける シスコからセキュリティ情報を受け取るための登録をする シスコ製品に関するセキュリティ勧告および注意事項の最新のリストには 次の URL からアクセスできます 勧告および注意事項がアップデートされた時点でリアルタイムに確認する場合は 次の URL から Product Security Incident Response Team Really Simple Syndication(PSIRT RSS) フィードにアクセスしてください シスコ製品のセキュリティ問題の報告 シスコでは セキュアな製品を提供すべく全力を尽くしています 製品のリリース前には内部でテストを行い すべての脆弱性を早急に修正するよう努力しています 万一 シスコ製品に脆弱性が見つかった場合は PSIRT にご連絡ください 緊急の場合 英語のみ ) 緊急でない場合 :psirt@cisco.com( 英語のみ ) ヒント シスコに機密情報をお送りいただく際には PGP(Pretty Good Privacy) または互換製品を使用して 暗号化することをお勧めします PSIRT は PGP バージョン 2.x から 8.x と互換性のある暗号化情報に対応しています 無効になった または有効期限が切れた暗号鍵は 絶対に使用しないでください PSIRT に連絡する際に使用する正しい公開鍵は 次の公開鍵サーバのリストで作成日が最新の鍵です 緊急の場合は 電話で PSIRT に連絡することもできます ( 英語のみ ) ( 英語のみ ) 69

70 テクニカルサポート シスコと正式なサービス契約を交わしているすべてのお客様 パートナー および代理店は Cisco Technical Support で 24 時間テクニカルサポートを利用することができます Cisco.com の Cisco Technical Support Web サイトでは 多数のサポートリソースをオンラインで提供しています また Cisco Technical Assistance Center(TAC) のエンジニアが電話でのサポートにも対応します シスコと正式なサービス契約を交わしていない場合は 代理店にお問い合せください Cisco Technical Support Web サイト Cisco Technical Support Web サイトでは シスコ製品やシスコの技術に関するトラブルシューティングにお役立ていただけるように オンラインでマニュアルやツールを提供しています この Web サイトは 24 時間 365 日 いつでも利用可能です URL は次のとおりです Cisco Technical Support Web サイトのツールにアクセスするには Cisco.com のユーザ ID とパスワードが必要です サービス契約が有効で ユーザ ID またはパスワードを取得していない場合は 次の URL にアクセスして登録手続きを行ってください ( 注 ) Web または電話でサービスリクエストを発行する前に Cisco Product Identification(CPI) ツールを使用して製品のシリアル番号を確認してください CPI ツールには Cisco Technical Support Web サイトから Documentation & Tools の下の Tools & Resources リンクをクリックするとアクセスできます アルファベット順の索引ドロップダウンリストから Cisco Product Identification Tool を選択するか Alerts & RMAs の下の Cisco Product Identification Tool リンクをクリックします CPI ツールには 3 つの検索オプションがあります 製品 ID またはモデル名による検索 ツリー表示による検索 show コマンド出力のコピーアンドペーストによる特定製品の検索です 検索結果では 製品が図示され シリアル番号ラベルの位置が強調表示されます ご使用の製品でシリアル番号ラベルを確認し その情報を記録してからサービスコールをかけてください 70

71 Japan TAC Web サイト Japan TAC Web サイトでは 利用頻度の高い TAC Web サイト ( のドキュメントを日本語で提供しています Japan TAC Web サイトには 次の URL からアクセスしてください サポート契約を結んでいない方は ゲスト としてご登録いただくだけで Japan TAC Web サイトのドキュメントにアクセスできます Japan TAC Web サイトにアクセスするには Cisco.com のログイン ID とパスワードが必要です ログイン ID とパスワードを取得していない場合は 次の URL にアクセスして登録手続きを行ってください サービスリクエストの発行 オンラインの TAC Service Request Tool を使用すると S3 と S4 のサービスリクエストを短時間でオープンできます (S3: ネットワークに軽微な障害が発生した S4: 製品情報が必要である ) 状況を入力すると その状況を解決するための推奨手段が検索されます これらの推奨手段で問題を解決できない場合は Cisco TAC のエンジニアが対応します TAC Service Request Tool には 次の URL からアクセスできます S1 または S2 のサービスリクエストの場合 またはインターネットにアクセスできない場合は Cisco TAC に電話でお問い合せください (S1: ネットワークがダウンした S2: ネットワークの機能が著しく低下した ) S1 および S2 のサービスリクエストには Cisco TAC のエンジニアがすぐに割り当てられ 業務を円滑に継続できるようサポートします Cisco TAC の連絡先については 次の URL を参照してください 71

72 サービスリクエストのシビラティの定義 シスコでは 報告されるサービスリクエストを標準化するために シビラティを定義しています シビラティ 1(S1): ネットワークが ダウン した状態か 業務に致命的な損害が発生した場合 お客様およびシスコが 24 時間体制でこの問題を解決する必要があると判断した場合 シビラティ 2(S2): 既存のネットワーク動作が著しく低下したか シスコ製品が十分に機能しないため 業務に重大な影響を及ぼした場合 お客様およびシスコが 通常の業務中の全時間を費やして この問題を解決する必要があると判断した場合 シビラティ 3(S3): ネットワークの動作パフォーマンスが低下しているが ほとんどの業務運用は継続できる場合 お客様およびシスコが 業務時間中にサービスを十分なレベルにまで復旧させる必要があると判断した場合 シビラティ 4(S4): シスコ製品の機能 インストレーション コンフィギュレーションについて 情報または支援が必要な場合 業務の運用には ほとんど影響がありません その他の資料および情報の入手方法 シスコの製品 テクノロジー およびネットワークソリューションに関する情報について さまざまな資料をオンラインおよび印刷物で入手できます Cisco Marketplace では シスコの書籍やリファレンスガイド ロゴ製品を数多く提供しています 購入を希望される場合は 次の URL にアクセスしてください Cisco Press では ネットワーク全般 トレーニング および認定資格に関する出版物を幅広く発行しています これらの出版物は 初級者にも上級者にも役立ちます Cisco Press の最新の出版情報などについては 次の URL からアクセスしてください Packet はシスコシステムズが発行する技術者向けの雑誌で インターネットやネットワークへの投資を最大限に活用するために役立ちます 本誌は季刊誌として発行され 業界の最先端トレンド 最新テクノロジー シスコ製品やソリューション情報が記載されています また ネットワーク構成およびトラブルシューティングに関するヒント コンフィギュレーション例 カスタマーケーススタディ 認定情報とトレーニング情報 および充実したオンラインサービスへのリンクの内容が含まれます Packet には 次の URL からアクセスしてください 72

73 日本語版 Packet は 米国版 Packet と日本版のオリジナル記事で構成されています 日本語版 Packet には 次の URL からアクセスしてください iq Magazine はシスコシステムズの季刊誌で 成長企業が収益を上げ 業務を効率化し サービスを拡大するためには技術をどのように利用したらよいかを学べるように構成されています 本誌では 実例とビジネス戦略を挙げて 成長企業が直面する問題とそれを解決するための技術を紹介し 読者が技術への投資に関して適切な決定を下せるよう配慮しています iq Magazine には 次の URL からアクセスしてください Internet Protocol Journal は インターネットおよびイントラネットの設計 開発 運用を担当するエンジニア向けに シスコが発行する季刊誌です Internet Protocol Journal には 次の URL からアクセスしてください シスコは 国際的なレベルのネットワーク関連トレーニングを実施しています 最新情報については 次の URL からアクセスしてください 73

74 Cisco Systems has more than 200 offices in the following countries.addresses, phone numbers, and fax numbers are listed on the Cisco Website at Argentina Australia Austria Belgium Brazil Bulgaria Canada Chile China PRC Colombia Costa Rica Croatia Cyprus Czech Republic Denmark Dubai, UAE Finland France Germany Greece Hong Kong SAR Hungary India Indonesia Ireland Israel Italy Japan Korea Luxembourg Malaysia Mexico The Netherlands New Zealand Norway Peru Philippines Poland Portugal Puerto Rico Romania Russia Saudi Arabia Scotland Singapore Slovakia Slovenia South Africa Spain Sweden Switzerland Taiwan Thailand Turkey Ukraine United Kingdom United States Venezuela Vietnam Zimbabwe CCSP CCVP Cisco Square Bridge のロゴ Follow Me Browsing および StackWise は Cisco Systems, Inc. の商標です Changing the Way We Work, Live, Play, and Learn および iquick Study は Cisco Systems, Inc. のサービスマークです Access Registrar Aironet ASIST BPX Catalyst CCDA CCDP CCIE CCIP CCNA CCNP Cisco Cisco Certified Internetwork Expert のロゴ Cisco IOS Cisco Press Cisco Systems Cisco Systems Capital Cisco Systems のロゴ Cisco Unity Empowering the Internet Generation Enterprise/Solver EtherChannel EtherFast EtherSwitch Fast Step FormShare GigaDrive GigaStack HomeLink Internet Quotient IOS IP/TV iq Expertise iq のロゴ iq Net Readiness Scorecard LightStream Linksys MeetingPlace MGX Networkers のロゴ Networking Academy Network Registrar Packet PIX Post-Routing Pre-Routing ProConnect RateMUX ScriptShare SlideCast SMARTnet StrataView Plus TeleRouter The Fastest Way to Increase Your Internet Quotient および TransPath は 米国および一部の国における Cisco Systems, Inc. とその関連会社の登録商標です このマニュアルまたは Web サイトで言及されているその他の商標はすべて それぞれの所有者のものです パートナー という語の使用は シスコと他社の提携関係を意味するものではありません (0502R) Copyright 2005, Cisco Systems, Inc. All rights reserved. お問い合わせは 購入された各代理店へご連絡ください シスコシステムズ株式会社 URL: 問合せ URL: 東京都港区赤坂 国際新赤坂ビル東館 TEL FAX DOC-J = J flhi0601