|
◆ CBAC - コンフィグ設定 - CBACの検査対象プロトコルの指定
検査ルールの対象をTCPまたはUDPに指定することで、特定のアプリ層プロトコルを指定していなくても
TCPまたはUDPトラフィック全体が許可されます。ただしTCPまたはUDPだけを指定した検査ルールでは
アプリ特有のコマンドを認識できないため、戻りのトラフィックをすべて許可できない可能性もあります。
つまり、TCPとUDP検査指定だけではreflexive ACLと同等のレベルということです。従って、FTPなどを
CBACの検査対象としたい場合、以下の設定例通り上位層のアプリ層プロトコルを指定する必要があります。
アイドル時からのセッション管理時間はtimeoutで定義します。デフォルトでTCPは3600秒、UDPは30秒。
◆ CBACの検査対象プロトコルの指定
(config)# ip inspect name name protocol [ timeout seconds ]
◆ CBACの検査対象プロトコルの設定例
Cisco(config)# ip inspect name CBAC tcp
Cisco(config)# ip inspect name CBAC udp
Cisco(config)# ip inspect name CBAC ftp
Cisco(config)# ip inspect name CBAC icmp
|
◆ CBAC - コンフィグ設定 - インターフェースへの適用
CBACの検索ルールの作成後、インターフェースに適用します。外部インターフェースに適用する場合は
一般的には out で適用します。内部インターフェースに適用する場合には、一般的には in で適用します。
CBACは一般的に外部インターフェースに対して out で適用します。
◆ CBACのインターフェースへの適用
(config)# interface interface-id
(config-if)# ip inspect name [ in | out ]
そして、外部インターフェースには、NTPやICMPなどパケットだけを許可して、それ以外を全て拒否する
ACL(deny ip any any)を外部I/Fに in で適用。暗黙の deny が適用されるので許可エントリだけを定義。
◆ CBACのインターフェースへの適用の設定例
Cisco(config)# interface Gigabitethernet 0/0
Cisco(config-if)# ip address 203.189.105.208 255.255.255.224
Cisco(config-if)# ip inspect CBAC out
Cisco(config-if)# ip access-group INTERNET in
Cisco(config)# ip access-list extended INTERNET
Cisco(config-ext-nacl)# permit udp host 133.243.238.163 eq ntp host 203.189.105.208 eq ntp
|
CBACを動作させる最低限の設定は以上です。設定例はインターネット接続-PPPoE設定もご参考下さい。
◆ CBAC - オプション設定 - 監査トレイル(audit-trail)と警告メッセージ(alert)
CBACはファイアウォールにより追跡されるイベントに基づいてリアルタイムの監査トレイルと警告を追跡
することができます。監査トレイルはタイムスタンプ、送信元ホスト、宛先ホスト、ポート番号セッション
ベースの報告のための送信済み総バイト数を記録する間、全トランザクションの追跡ために syslog で送信。
この監査トレイル(audit-trail)については、出力されるログが多いためデフォルトで無効になっています。
◆ CBACの監査トレイルの設定
(config)# ip inspect audit trail ← 有効化
(config)# no ip inspect audit trail ← 無効化(デフォルト)
警告(alert)についても疑わしい活動を検知した場合は、syslogサーバにエラーメッセージを送信します。
◆ CBACの警告の設定
(config)# ip inspect alert-off ← 有効化(デフォルト)
(config)# no ip inspect alert-off ← 無効化
上記の設定はグローバルに適用される内容であり、ある特定のCBACの検査ルールごとに監査トレイルや
警告を有効化、無効化の設定したい場合は、CBAC検査ルール作成時に以下のコマンド構文で設定します。
(config)# ip inspect name name protocol [ alert { on | off } ] [ audit-trail { on | off } ]
◆ CBAC - オプション設定 - タイムアウト値としきい値の設定
CBACはセッションのステート情報をどのくらい時間管理するのか、また、ハーフオープンコネクションを
いつ破棄するのかを決定するのに「タイムアウト値」と「しきい値」を使用します。以下はその項目の一覧。
| 設定コマンド |
default |
Timeout or Threshold 値の詳細内容 |
| ip inspect tcp synwait-time |
30秒 |
TCPセッションを破棄せずにTCPセッション確立状態に達するまで待つ時間 |
| ip inspect tcp finwait-time |
5秒 |
FINの交換を検知した後でもなおTCPセッションを管理する時間 |
| ip inspect tcp idle-time |
3600秒 |
活動がなくなってからTCPセッションを管理する時間 |
| ip inspect udp idle-time |
30秒 |
活動がなくなってからUDPセッションを管理する時間 |
| ip inspect dns-timeout |
5秒 |
活動がなくなってからDNS名前検索セッションが管理される時間 |
| ip inspect max-incomplete high |
Unlimited
|
To define the number of existing half-open sessions that will cause
the software to start deleting half-open sessions |
| ip inspect max-incomplete low |
Unlimited
|
To define the number of existing half-open sessions that will cause
the software to stop deleting half-open sessions |
| ip inspect one-minute high |
Unlimited
|
To define the rate of new unestablished sessions that will cause
the software to start deleting half-open sessions |
| ip inspect one-munite low |
Unlimited
|
To define the rate of new unestablished TCP sessions that will cause
the software to stop deleting half-open sessions |
※ ip inspect max-incomplete と ip inspect one-minute が「Unlimited」になったのは IOS 12.4(11)T/12.4(10) and later。
|