[TKB] セキュリティ ドキュメント

概要優先順位を付けたトラフィック ポリシング優先順位を付けたトラフィック シェーピングQoS 統計情報の表示  概要この記事は、ASA により提供される QoS 機能について ASA 管理者に説明することを目的としています。サポートされる QoS メカニズムについて簡単に説明し、使用方法を示す例をいくつか挙げます。 トラフィック ポリシングト ラフィックの総量が一定の制限を超えると、多くの場合ポリシングが不可欠になります。その場合、帯域幅は 1 人のユーザまたは 1  つのアプリケーションによっ...

プライベートCA Gléasで発行したクライアント証明書および iPhone用の構成プロファイルを利用して、シスコシステムズ社のCisco ASA5500を経由して Cisco AnyConnect VPN Client から SSL-VPN トンネリング接続を構築するための設定例を記載します。   〔ホワイトペーパー（設定例）〕 http://www.jcch-sss.com/service/support/2011/04/cisco-asa-iphone-anyconnect   〔プライベ...

JCCH・セキュリティ・ソリューション・システムズが開発・販売する「プライベートCA Gléas」で発行したクライアント証明書および iPhone用の構成プロファイルを利用して、シスコシステムズ社のCisco ASA5500を経由してiPhone から IPsec での接続を構築するための設定例を記載しています。   〔ホワイトペーパー（設定例）〕 http://www.jcch-sss.com/service/support/2011/04/cisco-asa-iphone-ipsec   〔...

Android標準VPNとCisco AnyConnect VPNの比較資料です。 ※Android版AnyConnectは2011年夏以降のリリース予定です。

【AndroidとCisco ASA5500のVPN設定ガイド】   ・Android標準VPNクライアントとASA5500とのL2TP/IPSec VPN接続の設定を記載しています。 ・ASA5500発注ガイドも付いています。   非常にお問い合わせが多い資料となっていますので、是非ご活用ください！

スタティック NAT/PAT8.3以前のNAT8.3NAT標準スタティック NATstatic (inside,outside) 192.168.100.100 10.1.1.6 netmask 255.255.255.255object network obj-10.1.1.6   host 10.1.1.6   nat (inside,outside) static 192.168.100.100 標準スタティック PATstatic (inside,outside) tcp 192.16...

CUCM 8.0.1 および IP Phone Firmware 9.X では、AnyConnect を使用して IP 電話から ASA へ直接接続できるようになりました。このドキュメントでは、初期設定時によくみられる問題とその対処方法について説明します。 必須ソフトウェア バージョンCUCM：8.0.1.100000-4 以上IP phone：9.0(2)SR1S - SCCP 以上ASA：8.0.4 以上AnyConnect VPN パッケージ：2.4.1012 以上注：「Premium」...

概要トラブルシューティング1) ASA 8.x: AnyConnect VPN Client トラブルシューティング テクニカル ノート関連情報  概要このドキュメントには、Cisco AnyConnect VPN Client に関連する FAQ（よくあるご質問とその回答）が記載されています。ドキュメントの表記規則については、「シスコ テクニカル ティップスの表記法」を参照してください。 Q. AnyConnect クライアントを使用するにはどのレベルの権限が必要ですか。A. 初回インストール...

基本 L2L または基本 RA セットアップに関する「NAT 例外」（以前のリリースでは「NoNAT」または「NAT 0」と呼ばれていました）のドキュメントを参照L2L の例トポロジ：192.168.1.x/24 inside(ASA1)outside ===VPN===outside(ASA2)inside 192.168.2.0/24この L2L トンネルに ASA1 NAT 例外を設定した場合、次のようになります。オブジェクト ネットワーク obj-local     サブネット 192...

概要このドキュメントでは、Extensible Authentication Protocol-Transport Layer Security（EAP-TLS）バージョン 1.01 の設定例について説明します。注：このドキュメントでは、ユーザが Microsoft の Certificate Authority（CA;  認証局）を使用しているという前提で説明が進められます。自己署名証明書を使用することもできますが、シスコではその方法は推奨していません。そのため、 このドキュメントでは、自己署...

概要このドキュメントでは、Adaptive Security Device Manager（ASDM）か CLI  を使用して、目的のパケットをキャプチャするために、Cisco 5500 シリーズ Adaptive Security  Appliance（ASA）を設定する方法について説明しています。ASDM では、直感的で使用が容易な Web  ベースの管理インターフェイスにより、ワールドクラスのセキュリティ管理と監視機能が提供されています。前提条件要件このドキュメントでは、ASA が完全に動...

Command Line Interface(CLI)で取得ASDM を使用して取得　　　　ASA には、パケットキャプチャを取得する機能が実装されており、ASA を介する通信のトラブルシュートを行う際に、最も基本的、かつ強力なツールとして活用できます。 今回は、サンプルとして、下記のような簡易構成を想定し、ホスト 2 -> 1 への通信をキャプチャする手順を CLI、GUI(ASDM) の両方でご案内します。 CLI/ASDM どちら取得しても結果は同じですが、ASDM で取得する場合には、F...

Crypto conditional debug は Crypto 系デバッグの出力をフィルターリングし、必要な部分だけに絞る機能で、IOS は昔から ありましたが、ASA にも 8.0(2) から導入されています。 Crypto conditional debug [New Features]http://www.cisco.com/en/US/docs/security/asa/asa80/release/notes/asarn80.html ASA でこのコマンドの使い方に関する公開...

ASA から export　した証明書を Windows の証明書ストアに　import する手順を紹介します。 1) ASA から証明書を export する。 - crypto ca export <TRUSTPOINT_NAME> pkcs12 <PASSPHRASE> これの出力を例えば asa.base64 というファイルに保存しておく。 pkcs12 フォマットの証明書は binary ファイルなので、コマンドラインでコピーペストできるようにするため、上記コマンドは、pkcs12...

TCP state bypass とは、名前通り、TCP State を管理しないようにする機能で、8.2(1) からの新機能として ASA に導入されています。Release Notes for the Cisco ASA 5500 Series, 8.2(x)設定自体はシンプルで、典型的な MPF (Modular Policy Framework) 設定となります。TCP state bypass を有効にしたいトラフィックに対してアクセスリストを定義するそのアクセスリストをマッチするよう...