ASA 8.3以降：MPFを使用したSSH/Telnet/HTTP接続タイムアウトの設定例

ダウンロードオプション

PDF (485.0 KB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (262.0 KB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (572.2 KB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2011 年 6 月 17 日

Document ID:113051

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

前提条件

要件

使用するコンポーネント

表記法

設定

ネットワーク図

コンフィギュレーション

embryonic タイムアウト

トラブルシュート

はじめに

このドキュメントでは、すべてのアプリケーションではなく SSH/Telnet/HTTP などの特定のアプリケーションに固有のタイムアウトの設定例を、Cisco 適応型セキュリティアプライアンス（ASA）バージョン 8.3(1) 以降を対象として示します。この設定例では、Cisco 適応型セキュリティアプライアンス（ASA）バージョン 7.0 で導入されたモジュラポリシーフレームワーク（MPF）を使用しています。詳細については、モジュラポリシーフレームワークの使用を参照してください。

この設定例では、Cisco ASA は、ワークステーション（10.77.241.129）が Telnet/SSH/HTTP により、ルータの背後でリモートサーバ（10.1.1.1）に接続することを許可するように設定されています。さらに Telnet/SSH/HTTP のトラフィックには、個別の接続タイムアウトが設定されています。他のすべての TCP トラフィックは引き続き、timeout conn 1:00:00 に関連付けられた通常の接続タイムアウト値を持ちます。

バージョン8.2以前のCisco ASAでの同じ設定については、『PIX/ASA 7.x以降/FWSM:MPFを使用したSSH/Telnet/HTTP接続タイムアウトの設定例』を参照してください。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、Adaptive Security Device Manager（ASDM）6.3 がある Cisco ASA セキュリティアプライアンスソフトウェアバージョン 8.3(1) を基本としています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコテクニカルティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注：このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワークセットアップを使用します。

注：この設定で使用されているIPアドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。これらはラボ環境で使用された RFC 1918 のアドレスです。

コンフィギュレーション

このドキュメントでは、次のコンフィギュレーションを使用します。

CLI での設定
ASDM の設定

注：次のCLIおよびASDMの設定は、ファイアウォールサービスモジュール(FWSM)に適用できます。

CLI での設定

ASA 8.3(1) の設定
ASA Version 8.3(1) ! hostname ASA domain-name nantes-port.fr enable password S39lgaewi/JM5WyY level 3 encrypted enable password 2KFQnbNIdI.2KYOU encrypted passwd 1mZfSd48bl0UdPgP encrypted no names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 192.168.200.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.77.241.142 255.255.255.0 boot system disk0:/asa831-k8.bin ftp mode passive dns domain-lookup outside !--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map. object-group service DM_INLINE_TCP_1 tcp port-object eq www port-object eq ssh port-object eq telnet access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 nat (inside) 0 access-list inside_nat0_outbound access-group 101 in interface outside route outside 0.0.0.0 0.0.0.0 192.168.200.2 1 timeout xlate 3:00:00 !--- The default connection timeout value of one hour is applicable to !--- all other TCP applications. timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! !--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map. class-map Cisco-class match access-list outside_mpc class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp !--- Use the pre-defined class map Cisco-class* in the policy map.* policy-map Cisco-policy !--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes. class Cisco-class set connection timeout idle 0:10:00 reset ! ! service-policy global_policy global !--- Apply the policy-map Cisco-policy* on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.* service-policy Cisco-policy interface outside end

ASA 8.3(1) の設定

ASA Version 8.3(1) 
!
hostname ASA
domain-name nantes-port.fr
enable password S39lgaewi/JM5WyY level 3 encrypted
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 1mZfSd48bl0UdPgP encrypted
no names

dns-guard
!
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.200.1 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
ip address 10.77.241.142 255.255.255.0
 

boot system disk0:/asa831-k8.bin
ftp mode passive
dns domain-lookup outside


!--- Creates an object called DM_INLINE_TCP_1. This defines the traffic !--- that has to be matched in the class map.


object-group service DM_INLINE_TCP_1 tcp
 port-object eq www
 port-object eq ssh
 port-object eq telnet

access-list outside_mpc extended permit tcp host 10.77.241.129 any object-group DM_INLINE_TCP_1 


pager lines 24
mtu inside 1500
mtu outside 1500
no failover
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
access-group 101 in interface outside

route outside 0.0.0.0 0.0.0.0 192.168.200.2 1
timeout xlate 3:00:00


!--- The default connection timeout value of one hour is applicable to !--- all other TCP applications.

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!


!--- Define the class map Cisco-class in order !--- to classify Telnet/ssh/http traffic when you use Modular Policy Framework !--- to configure a security feature. !--- Assign the parameters to be matched by class map.


class-map Cisco-class
 match access-list outside_mpc

class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp


!--- Use the pre-defined class map Cisco-class in the policy map. 


policy-map Cisco-policy


!--- Set the connection timeout under the class mode where !--- the idle TCP (Telnet/ssh/http) connection is disconnected. !--- There is a set value of ten minutes in this example. !--- The minimum possible value is five minutes.


 class Cisco-class
  set connection timeout idle 0:10:00 reset
!
!
service-policy global_policy global


!--- Apply the policy-map Cisco-policy on the interface. !--- You can apply the service-policy command to any interface that !--- can be defined by the nameif command.

service-policy Cisco-policy interface outside
end

ASDM の設定

Telnet、SSH、および HTTP トラフィックに ASDM を使用して TCP 接続タイムアウトを設定するには、以下に示す手順を実行します。

注：ASDMからPIX/ASAにアクセスするための基本設定については、『ASDM用のHTTPSアクセスの許可』を参照してください。

サービスポリシールールを設定するには、示されているとおり、[Configuration] > [Firewall] > [Service Policy Rules]を選択し、[Add] をクリックします。
[Add Service Policy Rule Wizard - Service Policy]ウィンドウで、[Create a Service Policy and Apply To] セクションの下にある [Interface] の横のラジオボタンを選択します。次に、目的のインターフェイスをドロップダウンリストから選択し、[Policy Name]を入力します。この例で使用しているポリシー名は、Cisco-policy です。次に、[Next]をクリックします。
クラスマップ名 Cisco-class を作成し、[Traffic Match Criteria] にある [Source and Destination IP address（uses ACL）] チェックボックスをオンにします。次に、[Next]をクリックします。
[Add Service Policy Rule Wizard - Traffic Match - Source and Destnation Address]ウィンドウで、[Match] の横にあるラジオボタンを選択し、送信元と宛先のアドレスを、示されているとおりに入力します。[Service]の横にあるドロップダウンボタンをクリックして、必要なサービスを選択します。
telnet、ssh、および http などの必要なサービスを選択します。次に、[OK] をクリックします。
タイムアウトを設定します。[Next] をクリックします。
TCP 接続タイムアウトを 10 分に設定するために、[Connection Settings]を選択します。さらに、[Send reset to TCP endpoints before timeout]チェックボックスをオンにします。[Finish] をクリックします。
[Apply]をクリックして、設定をセキュリティアプライアンスに適用します。

これで、設定は完了です。

embryonic タイムアウト

embryonic 接続とは、半分開いている接続のことです。あるいはたとえば、3 ウェイハンドシェイクが完了していない接続などのことです。これは ASA では SYN タイムアウトとして定義されます。デフォルトでは、ASA の SYN タイムアウトは 30 秒です。embryonic タイムアウトを設定するには、以下のようにします。

access-list emb_map extended permit tcp any any 
 
class-map emb_map
match access-list emb_map
  
policy-map global_policy
class emb_map
set connection timeout embryonic 0:02:00
 
service-policy global_policy global

トラブルシュート

接続タイムアウトが MPF で機能しない場合は、TCP 初期接続を確認してください。送信元と宛先の IP アドレスが逆になっているか、またはアクセスリスト内で誤って設定された IP アドレスが、新しいタイムアウト値を設定するあるいはデフォルトのタイムアウトをアプリケーションに合わせて変更する MPF 内で一致していないことが問題である可能性があります。MPF で接続タイムアウトを設定するには、開始接続に合わせてアクセスリストエントリ（送信元と宛先）を作成します。

ASA 8.3以降：MPFを使用したSSH/Telnet/HTTP接続タイムアウトの設定例

ダウンロードオプション

偏向のない言語

翻訳について

内容

はじめに

前提条件

要件

使用するコンポーネント

表記法

設定

ネットワーク図

コンフィギュレーション

CLI での設定

ASDM の設定

embryonic タイムアウト

トラブルシュート

関連情報

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ASA 8.3以降：MPFを使用したSSH/Telnet/HTTP接続タイムアウトの設定例

ダウンロード オプション

偏向のない言語

翻訳について

内容

更新履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

このドキュメントは次の製品に対応しています

ダウンロードオプション