キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
4557
閲覧回数
0
いいね!
8
返信

「エキスパートに質問」ファイアウォールについて

シスコの技術サポートエンジニアへ質問して疑問を解決できる「エキスパートに質問」へようこそ!

ここでは、シスコのエキスパートからのアドバイスや最新の情報が得られる場として気軽に質問してみてください。

担当エキスパート:「 川村 悟 (カワムラ サトル)」

ディスカッション開催期間:2011年10月10日~2011年10月23日

「川村 悟」は、Cisco 入社から一貫してSecurity 製品のカスタマーサポートを行っており、現在は主に

ASA/FWSM 等のFirewall やACS/NAC 等AAA 関連製品のサポートを担当しています。



[質問の投稿方法]

サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。

もし1つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が通常のディスカッション フォーラムへ再掲載し、有用な情報の展開へとつなげていきます。

エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。

あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問の展開を確認するためにも、ぜひこのフォーラムへ再度訪問されることをお待ちしております!

8件の返信8

utun1305205
Level 1
Level 1

お世話になっております。

Cisco ASA 5510を使用して、新規設定したNICと他NICの通信するための設定(ASDM)について

ご教授頂きたく、質問させていただきます。

機器の情報は以下の通りです。

Device Type:ASA5510

ASDM Version:6.2(5)53

ASA Version:8.2(2)

前提:

NIC1(outside)、NIC2(inside)、NIC3(dmz)として設定され、

これらは正常に通信できています。

状況:

新たにNIC4、未使用ポートを設定して使用したいと考え、

[Configuration]-[Interfaces]から新規設定致しました。

設定内容としては以下の通りです。

・[Interface Name] -> <ifname>(実際には通常の英字名)

・[Security Level] -> 80(insideは100、outsideは50です)

・[Enable Interface] -> check

・[IP Address] -> 192.168.xxx.xxx

・[Subnet Mask] -> 255.255.255.0

・その他設定はデフォルト

FWは[Access Rules]の<ifname>#1に以下の内容で設定しています。

・[Action] -> Permit

・[Source] -> any

・[Destination] -> any

・[Service] -> ip

・その他のNICもICMPはPermitとしています

また、<ifname>に直で繋いだPCは、ASAに対してpingで通信できています。

問題:

PC - <ifname> -> ASA -> inside network

PC - <ifname> -> ASA -> outside network

に対しての通信ができません。

ASA Version 7.0未満だと、RoutingとNAT設定が必要とのことですが、

8.2なので、問題ないかと思っています。

当方、Cisco製品を触るのは実は初めてでして、

特有の設定等についてまったく知識がございません。

私の経験上では大体このような設定で通ると認識しているのですが、

原因、または設定不備等、思い当たる部分ございましたら、

ご教授願います。

以上、宜しくお願いいたします。

新規に設定を追加して有効化したInterface 上のPC から

他Interface のネットワークへの通信が出来ないということですが、

あらゆる種類のトラフィックがASA を通過出来ない状況となっていますでしょうか。

ASDM をご利用であれば、"Packet Tracer" を使って

「現在の設定に基づくパケットの転送が可能であるかどうか」や、

「いずれかの機能によってパケットが破棄されているのかどうか」を

シミュレーションすることが可能です。

Packet Tracer の使い方につきましては、User Guide の記載内容をご参照ください。

http://www.cisco.com/en/US/docs/security/asdm/6_2/user/guide/tools.html#wpmkr1544550

Packet Tracer の結果、転送が失敗するような場合には

パケットを破棄した機能や箇所が示されますので、

当該機能に着目して設定を再度ご確認いただく形になります。

一方、Packet Tracer の結果に問題が無かったものの

実際のトラフィックが引き続き転送失敗の状態となるようであれば、

現在のASA の設定内容(running-config) やsyslog 等を元にしたASA の挙動確認が

必要になると考えています。

ご検討の程、宜しくお願いします。

ご返信ありがとうございます。

Packet Tracerを使用して調査したところ、

NIC4(新規)側のACCESS-LISTで×となり、RESULTには

info: (acl-drop) Flow is denied by configured rule

と出ています。

詳細:

(ipは仮のものです)

・Packe Type -> TCPの場合

SourceIP -> 192.168.4.2(NIC4下のPCのIP)

DestinationIP -> 192.168.2.1(NIC2(inside)のNICIP)

Src Port & Dest Port -> echo

Result -> info: (acl-drop) Flow is denied by configured rule

・Packe Type -> UDPの場合

SourceIP -> 192.168.4.2(NIC4下のPCのIP)

DestinationIP -> 192.168.2.1(NIC2(inside)のNICIP)

Src Port & Dest Port -> echo

Result -> info: (acl-drop) Flow is denied by configured rule

・Packe Type -> ICMPの場合

SourceIP -> 192.168.4.2(NIC4下のPCのIP)

DestinationIP -> 192.168.2.1(NIC2(inside)のNICIP)

Type -> echo-reply

Code -> 1

ID -> 1

Result -> 成功

・Packe Type -> IPの場合

SourceIP -> 192.168.4.2(NIC4下のPCのIP)

DestinationIP -> 192.168.2.1(NIC2(inside)のNICIP)

Protocol -> icmp

Result -> 成功

Access Rulesが問題なのだと思いますが、

NIC4のルールには

・[Action] -> Permit

・[Source] -> any

・[Destination] -> any

・[Service] -> ip

を#1に登録しているので、これ以上何を開ければ良いのかわかりません。

そもそも私が勘違いしているかもしれませんが、

Serviceの「ip」は全てのトラフィックを指定できると考えて良いのでしょうか。

また、指定しなければならないルール等ございましたらお教え願えますでしょうか。

宜しくお願いいたします。

申し訳ありません。

Packet Tracerで色々試していたところ、

ASA自体のNICIPを指定しなければうまくいっていた事が判明しました。

尚、試した例としては以下の通りです。

Packet Tracer実行例:

Interface -> NIC4

Packet Type -> TCP

Src IP -> 192.168.4.2(NIC4下のPCのIP)

Dest IP -> 72.14.203.99(googleのIP)

src & dest port -> http

この結果では、NIC4(新規)からNIC1(outside)へ通ることができました。

ただ、実際にNIC4下のPCでwebアクセスができていない状況です。

Packet Tracerの結果に問題が無かった場合は

> 現在のASA の設定内容(running-config) やsyslog 等を元にしたASA の挙動確認が

> 必要になると考えています。

とのことでしたが、具体的にはどのような調査が必要なのか

お教え願えますでしょうか。

お手数おかけしまして申し訳ありませんが

宜しくお願いいたします。

Packet Tracer のパケット転送シミュレーションには成功することから、

主にAccess-List の設定には問題が無いものとした上で

実際にASA を通過するトラフィックに支障が生じる場合、

確認が必要と考えられる点としては以下の内容となります。

1. ASA のSoftware Version

2. 各Interface のIP アドレス構成

3. ASA でのNAT 設定全般

4. ASA のsyslog

   (debugging レベルでの取得を推奨します)

5. トラフィックの転送に関与するInterface でのパケットキャプチャ

   (capture コマンドを利用します。また、ACL によるキャプチャ対象の絞り込みを推奨します)

1.について、ASA ではSoftware Version が「8.2以前」と「8.3以降」で

NAT やAccess-List 等の設定方法が一部異なりますので、

事象が発生しているASA に関する情報を確認します。

2.及び3.に関しましては、例えばoutside がThe Internet 等のグローバルIP アドレスエリアであり、

その他のInterface 配下がプライベートIP アドレスエリアである場合、

outside への通信時にはNAT の設定が正しく適用されているかどうかを確認します。

また、outside 以外のInterface 間でやり取りされるトラフィックであっても

既存のNAT 設定の影響を受ける場合がありますので、

実際のパケット転送に関与しないInterface も含めた全体のNAT 設定を把握する必要があります。

※ 1.〜3.の内容を含め、実際のService Request では

   ASA のshow tech-support を取得いただくようお願いしております。

4.や5.は、トラフィック転送時のASA の挙動を把握するために

取得いただくようお願いしています。

ご検討の程、宜しくお願いします。

川村様

ご回答ありがとうございます。

お教え頂いた内容を元に修正を試行しましたところ、

通信に成功いたしました。

経緯としては以下の通りです。

追加で設定した箇所:

NATにNIC4から他のポートへのルールを追加しました。

原因:

設定方法の調査中、ASAのバージョン7.0以降はルーティング・NAT設定をしなくても、

ASA自体が持つNICのセグメント同士は通信できるとの情報を見て

これを念頭に設定を行っていたことが主な原因です。

(私が使用しているASAのソフトウェアバージョンは8.2です)

この為、NATは設定しなくて良いものとして考えてしまっておりました。

気づいたポイント:

ご回答頂いた調査する項目に、「1. ASA のSoftware Version」「3. ASA でのNAT 設定全般」とあり、

> ASA ではSoftware Version が「8.2以前」と「8.3以降」で

> NAT やAccess-List 等の設定方法が一部異なり

との記載があった為、NAT設定が必要ないのは勘違いなのではと気づきました。

的確なアドバイス有難うございました。

今後とも宜しくお願いいたします。

jt1985629
Level 1
Level 1

お世話になっております。

IOS のFirewall機能について基本的な事で恐縮ですが、質問させて下さい。

現在、Cisco ルータの892J、1812Jを利用しており、
パケットフィルタリング(ACL)とNAT以外のSecurity設定を行っていない状態です。
必要なセキュリティ機能を実装したいと考えております。

以下のURLに、892Jのデータ シートがございますが、
http://www.cisco.com/web/JP/product/hs/routers/c800isr/prodlit/data_sheet_c78-519930.html

データシートに記載してあるセキュリティ機能について、
892Jのマニュアルに記載がない機能がほとんどで、
どのような脅威、脆弱性から保護してくれるのかが分りかねております。

ASAで提供されている機能も多数あるようなので、
セキュリティ機能の項目のうち、Ciscoで公開されているマニュアル・文書があれば、ご案内頂きたいです。
IOS のFirewall機能については設定方法・内容が同じだと思いますので、ASAのマニュアルなどで結構です。

お手数ですが、よろしくお願い致します。

IOS Firewall については日本語のデータシートを公開しておりますので、

まずはこちらの内容にて機能の概要をご確認ください。

Cisco IOS Firewall データシート

http://www.cisco.com/web/JP/product/hs/security/iosfeature/prodlit/product_data_sheet09186a0080117962.html

※ 表11 の「サポートされるプラットフォーム」にCisco 892 が含まれておりませんが、

   Cisco 892 でも同様の対応となります。

また、IOS のFirewall 機能は、アプライアンス製品(ASA5500 Series) とは

設定手順や挙動等が全く異なるものとなりますので、実際の設定や運用に際しましては

対応するドキュメントをご参照いただくようお願い致します。

Cisco IOS Firewall

http://www.cisco.com/en/US/products/sw/secursw/ps1018/tsd_products_support_series_home.html

なお、各種セキュリティ機能の利用に当たっては、設定内容により

CPU やメモリの利用状況に影響を及ぼす場合がありますので、あらかじめご注意ください。