[TKB] セキュリティ ドキュメント

デフォルトでは、ASA がパケットの TTL を decrement しないので、Traceroute 上に one-hop として表示されません。下記の設定を導入することでこの動作を変え、Traceroute の結果に ASA を表示させることができます。!! Traceroute の実装はプラットフォームによって違うため、! それに合わせて詳細に定義してもよいですが、ここでは! 全トラフィックをマッチしています。!class-map ANY match any !policy-map glo...

下記のように設定することで、特定のウェブサイトへのアクセスを ASA でブロックできます。// ブロックしたいサイトのドメインに対して正規表現オブジェクトを定義するregex BadSite "badsite.com"// 定義した正規表現オブジェクトを class に入れる// class-map を match-any で定義することで、後から// ブロックしたいサイトを簡単に追加できるclass-map type regex match-any BadSiteRegex  match re...

ASA 上 SLA を利用してルートトラッキングを行うことが可能です。設定例は下記のドキュメントから参考できます。ASA/PIX 7.x でデュアル ISP リンクをサポートするための設定例設定を簡単にまとめると、下記のようになっています。sla monitor 1 type echo protocol ipIcmpEcho 192.168.1.254 interface outside num-packets 3      <--- 一回で何個の Probe パケットを送るか frequenc...

ASA で debug-trace を有効にしておくと、デバッグログが Syslog メッセージ 711001 として出力されます。そこで、もし ASA 既存の logging 設定で Syslog レベルが debugging ではない場合、デバッグを Syslog で取るためには、下記のテクニックが使えます。（logging message 711001 でデバッグログのレベルを変更する）logging enablelogging buffer-size 1000000logging buf...

ASA を経由して BGP セッションが正常に張れない場合、下記の観点で切り分けを進めることができます。 どちらかの BGP ルータのアドレスが NAT によって変換されているか。MD5 認証では、送信元アドレスがハッシュの生成に使われるため、アドレスが途中で変わってしまうと認証が失敗します。nat-control が有効になっている場合は、BGP セッションに使われるアドレスに対して Identity NAT を設定する必要があります。BGP の認証に利用される TCP Option 19 が...

ASA で ICMP Inspection は、Inpsection の対象となったパケットを ICMP パケットと見なして検査します。そのため、下記のように ICMP プロトコル以外の通信を ICMP Inspection の対象に設定してしまいますと、それらのパケットが間違ってドロップされることになります。class-map ANY match any policy-map global_policy class ANY   inspect icmp 例えば、下記は上記の設定によって T...

① CLI にて取得頂く際の手順1. 事象の発生前に、あらかじめ以下のコマンドを設定します。    logging enable    logging buffered debugging    logging buffer-size 1000000    logging timestamp2. 事象の発生後、show log コマンドで出力されたsyslog を表示し、   その内容を取得。②ASDM を用いて取得する手順1. Configuration > Device Management...