[TKB] セキュリティ ドキュメント

CSC モジュールは四種類のトラフィックしか検査できないように設計されております。ウェブ： TCP 80 番ポートメール送信： TCP 25 番ポートメール受信： TCP 110 番ポートFTP ファイル転送：   TCP 21 番ポートこのことを考慮して、ASA のコマンドラインから csc コマンドを実行する際、下記のメッセージが表示されます。WARNING: CSC can ONLY scan TCP traffic that is destined to port  80 (HTTP),...

IOS では拡張 ping コマンド、もしくは ping コマンドに source オプションを付けて、簡単に送信元アドレスを指定して ICMP パケットを生成することができます。これは VPN の設定を実施した後、動作確認を行ないたい際に非常に便利な機能です。Router# ping 192.168.20.1 source fa0/1それに対して、ASA ではインターフェースを指定して ping すると、ルーティングの設定を無視してそのインターフェースからパケットを出力してしまいます。とは言え...

IOS ルータで自身から送信するパケットをフィルタリングすることは、昔では PBR (Policy-Based Routing) 機能で実現できましたが、12.4(6)T より以降のバージョンでは、ZFW (Zone-Based Policy Firewall) を使えば、同じく実現できます。 ZFW では、インターフェースを Zone に所属させることで、セキュリティポリシーを定義します。ルータ自身宛のトラフィックと自身から送信するトラフィックはビルトインの Self という Zone に所属...

IOS ルータとスイッチと違って、ASA では基本設定の一環として、nameif コマンドでインターフェースに名前を付ける必要があります。もし何らかの理由で稼働中の ASA 上インターフェースの名前を変更したい場合、IOS などではコマンドの前に no を付けて実行し、既存の設定を削除してから新しく定義することになりますが、nameif の場合は要注意です。no nameif を実行すると、該当名前を含む他の部分の設定が全部削除されてしまいます。正しい変更方法は、nameif コマンドを新しい名...

IOS の crypto logging session と同機能のコマンドが ASA に無いですが、%ASA-6-602303 および %ASA-6-602304 という二つの Syslog メッセージを活用すれば、類似の機能を実現できます。VPN セッションの記録やモニタリングに役立ちます。設定方法（ここでは Syslog サーバにログを残す）：logging enablelogging host inside <Syslog サーバの IP アドレス>logging list vpnrec...

IP スプーフィング（なりすまし）とは、嘘の送信元アドレスを使うことで、攻撃者のアドレスを隠しながら、ターゲットのネットワークにパケットを送り込む攻撃手法です。この特徴から、アクセスリストでアンチ・スプーフィングを実現するには、正当な送信元アドレスを使っている通信なのかという特徴に注目し、ひとつずつ deny 文を作成することです。Router(config)# ip access-list extended anti-spoof まずは RFC1918 で決められたプライベートアドレスからの通...

ASA5505 ではビルドインのスイッチモジュールが入っており、コマンド一行で簡単に SPAN （ミラーリングポート）を有効にすることができます。トラブルシューティングでパケットキャプチャを行う際に便利です。ciscoasa# show version | include Hardware|VersionCisco Adaptive Security Appliance Software Version 8.2(2) Device Manager Version 6.3(1)Hardware: ...

リモートアクセス VPN 接続では、通常下記のように社外ネットワークにある VPN クライアントとなっているパソコンなどから、インタネットを経由して VPN サーバに接続します。VPN 接続が確立できたら、社外に居ながら、社内ネットワークにアクセスできるようになります。VPN クライアント ------------- [インターネット] ------------- (Gi0/0) VPN サーバ(IOS ルータ) (Gi0/1) ------------- 社内ネットワーク# ここでは IOS ...

CSC モジュールで、ユーザ数がライセンスで許可した数を超えた際の動作は、管理者宛にその旨のメールを送りますが、通信自体は正常通り検査され、CSC モジュールを通過できます。 ただし、下記の機能拡張のためのものがありますので、将来的には、ライセンス超過時に制限がかけられるように実装変更する可能性があります。 CSCsu05880ENH: Enforce CSC Licensed seat countなお、CSC モジュールのライセンスを評価する際のユーザ数は、ASA 側でカウントしている I...

設定Show ログ、SyslogACL が最大一行という制限、その理由

GRE と IPSec を併用する際、crypto map を GRE トンネルのソースとなる物理インターフェースに適用すると、tunnel protection をトンネルインターフェースに適用するという二種類のやり方があります。-------------------------- R1 -------------------------- R2 --------------------------                                    192.168.12.0...

Active と Passive FTP の違いをパケットキャプチャから確認します。Active FTP 1) クライアントが（1024より大きい）ランダムポート P から、サーバの 21 番ポートに接続 2) クライアントが FTP コマンド PORT をサーバに送る 3) サーバが 20 番ポートからクライアントの P+2 番ポートへ接続する＜キャプチャ＞Passive FTP 1) クライアントが（1024より大きい）ランダムポート P1 から、サーバの 21 番ポートに接続 2) クライ...

IOS で IPSec VPN の設定をする際に、以下のコマンドを設定しておくと、IPSec Tunnel の Down/Up をログに記録することができるので便利です。(config)#crypto logging sessionログ出力例*Jul 21 12:17:46.515: %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN.  Peer 10.10.10.2:500       Id: 10.10.10.2*Jul 21 12:17:50....

CSC-SSM でトラブルシューティングする際、基本となるログ情報は 3種類あります。それぞれに含まれる情報が異なっており、事象によっては全部採取する必要もあったりしますが、使う頻度で並ぶと下記のようになります。 　　　1. ASA コマンド "show module 1 details" の出力 CSC-SSM のバージョン、ネットワーク設定や現在の稼働ステータスなど、最も基本的な情報 　　2. コマンドラインより取得できるログパケージ 取得する時点で CSC-SSM に貯めている情報のスナッ...

Multiple-context モードで動作している FWSM で、各ユーザコンテキストで capture コマンドを使ってパケットキャプチャを採取する場合、注意として、それらのキャプチャを外部のサーバへのコピーには System コンテキストで行う必要があります。changeto systemcopy /pcap capture:[CONTEXT_NAME]/[CAPTURE_NAME] tftp: 例えば、下記は admin コンテキストで取れた cap_mgmt という名前のキャプチャを...