ASA および Cisco TrustSec

この章では、ASA に Cisco TrustSec を実装する方法について説明します。

Cisco TrustSec について

従来、ファイアウォールなどのセキュリティ機能は、事前定義されている IP アドレス、サブネット、およびプロトコルに基づいてアクセス コントロールを実行していました。しかし、企業のボーダレス ネットワークへの移行に伴い、ユーザーと組織の接続に使用されるテクノロジーおよびデータとネットワークを保護するためのセキュリティ要件が大幅に向上しています。エンドポイントは、ますます遊動的となり、ユーザーは通常さまざまなエンドポイント(ラップトップとデスクトップ、スマートフォン、タブレットなど)を使用します。つまり、ユーザー属性とエンドポイント属性の組み合わせにより、ファイアウォール機能または専用ファイアウォールを持つスイッチやルータなどの実行デバイスがアクセス コントロール判断のために信頼して使用できる既存の 6 タプル ベースのルール以外の主要な特性が提供されます。

その結果、お客様のネットワーク全体、ネットワークのアクセス レイヤ、分散レイヤ、コア レイヤ、およびデータセンターのセキュリティを有効にするためには、エンドポイント属性またはクライアント アイデンティティ属性のアベイラビリティと伝搬がますます重要な要件となります。

Cisco TrustSec は、既存の ID 認証インフラストラクチャを基盤とするアクセス コントロールです。ネットワーク デバイス間のデータ機密性保持を目的としており、セキュリティ アクセス サービスを 1 つのプラットフォーム上で統合します。Cisco TrustSec 機能では、実行デバイスはユーザー属性とエンドポイント属性の組み合わせを使用して、ロールベースおよびアイデンティティベースのアクセス コントロールを決定します。この情報のアベイラビリティおよび伝搬によって、ネットワークのアクセス レイヤ、分散レイヤ、およびコア レイヤでのネットワーク全体におけるセキュリティが有効になります。

ご使用の環境に Cisco TrustSec を実装する利点は、次のとおりです。

Cisco TrustSec の SGT および SXP サポートについて

Cisco TrustSec 機能では、セキュリティ グループ アクセスは、トポロジ認識ネットワークをロールベースのネットワークに変換するため、ロールベース アクセス コントロール(RBAC)に基づいて実施されるエンドツーエンド ポリシーがイネーブルになります。認証時に取得されたデバイスおよびユーザー クレデンシャルは、パケットをセキュリティ グループごとに分類するために使用されます。Cisco TrustSec クラウドに着信するすべてのパケットは、セキュリティ グループ タグ(SGT)でタグ付けされます。タギングは、信頼できる中継がパケットの送信元のアイデンティティを識別し、データ パスでセキュリティ ポリシーを適用するのに役立ちます。SGT は、SGT を使用してセキュリティ グループ ACL を定義する場合に、ドメイン全体の特権レベルを示すことができます。

SGT は、RADIUS ベンダー固有属性で発生する IEEE 802.1X 認証、Web 認証、または MAC 認証バイパス(MAB)を使用してデバイスに割り当てられます。SGT は、特定の IP アドレスまたはスイッチ インターフェイスにスタティックに割り当てることができます。SGT は、認証の成功後にスイッチまたはアクセス ポイントにダイナミックに渡されます。

セキュリティ グループ交換プロトコル(SXP)は、SGT およびセキュリティ グループ ACL をサポートしているハードウェアに対する SGT 対応ハードウェア サポートがないネットワーク デバイスに IP-to-SGT マッピング データベースを伝搬できるよう Cisco TrustSec 向けに開発されたプロトコルです。コントロール プレーン プロトコルの SXP は、IP-SGT マッピングを認証ポイント(レガシー アクセス レイヤ スイッチなど)からネットワークのアップストリーム デバイスに渡します。

SXP 接続はポイントツーポイントであり、基礎となる転送プロトコルとして TCP を使用します。SXP は TCP ポート番号 64999 を使用して接続を開始します。また、SXP 接続は、送信元および宛先 IP アドレスによって一意に識別されます。

Cisco TrustSec 機能のロール

アイデンティティおよびポリシーベースのアクセス実施を提供するために、Cisco TrustSec 機能には、次のロールがあります。

  • アクセス要求側(AR):アクセス要求側は、ネットワークの保護されたリソースへのアクセスを要求するエンドポイント デバイスです。これらのデバイスはアーキテクチャのプライマリ対象であり、そのアクセス権限はアイデンティティ クレデンシャルによって異なります。

    アクセス要求側には、PC、ラップトップ、携帯電話、プリンタ、カメラ、MACsec 対応 IP フォンなどのエンドポイント デバイスが含まれます。

  • ポリシー デシジョン ポイント(PDP):ポリシー デシジョン ポイントはアクセス コントロール判断を行います。PDP は 802.1x、MAB、Web 認証などの機能を提供します。PDP は VLAN、DACL および Security Group Access(SGACL/SXP/SGT)による許可および適用をサポートします。

    Cisco TrustSec 機能では、Cisco Identity Services Engine(ISE)が PDP として機能します。Cisco ISE はアイデンティティおよびアクセス コントロール ポリシーの機能を提供します。

  • ポリシー情報ポイント(PIP):ポリシー情報ポイントは、ポリシー デシジョン ポイントに外部情報(たとえば、評価、場所、および LDAP 属性)を提供する送信元です。

    ポリシー情報ポイントには、Session Directory、IPS センサー、Communication Manager などのデバイスが含まれます。

  • ポリシー管理ポイント(PAP):ポリシー管理ポイントはポリシーを定義し、許可システムに挿入します。PAP はアイデンティティ リポジトリとしても動作し、Cisco TrustSec タグからユーザー アイデンティティへのマッピングと、Cisco TrustSec タグからサーバー リソースへのマッピングを行います。

    Cisco TrustSec 機能では、Cisco Secure Access Control System(802.1x および SGT サポートと統合されたポリシー サーバー)が PAP として機能します。

  • ポリシー エンフォースメント ポイント(PEP):ポリシー エンフォースメント ポイントは、各 AR の PDP による決定(ポリシー ルールおよびアクション)を実行するエンティティです。PEP デバイスは、ネットワーク全体に存在するプライマリ通信パスを介してアイデンティティ情報を学習します。PEP デバイスは、エンドポイント エージェント、許可サーバー、ピア実行デバイス、ネットワーク フローなど、さまざまな送信元から各 AR のアイデンティティ属性を学習します。同様に、PEP デバイスは SXP を使用して、ネットワーク全体で相互信頼できるピア デバイスに IP-SGT マッピングを伝搬します。

    ポリシー エンフォースメント ポイントには、Catalyst Switches、ルータ、ファイアウォール(具体的には ASA)、サーバー、VPN デバイス、SAN デバイスなどのネットワーク デバイスが含まれます。

Cisco ASA は、アイデンティティ アーキテクチャの中で PEP の役割を果たします。SXP を使用して、ASA は、認証ポイントから直接アイデンティティ情報を学習し、その情報を使用してアイデンティティベースのポリシーを適用します。

セキュリティ グループ ポリシーの適用

セキュリティ ポリシーの適用はセキュリティ グループの名前に基づきます。エンドポイント デバイスは、データセンターのリソースへのアクセスを試行します。ファイアウォールで設定された従来の IP ベースのポリシーと比較して、アイデンティティベースのポリシーは、ユーザーおよびデバイス アイデンティティに基づいて設定されます。たとえば、mktg-contractor が mktg-server にアクセスできるとします。mktg-corp-user は、mktg-server および corp-server にアクセスできます。

このタイプの導入には次のような利点があります。

  • ユーザー グループとリソースが 1 つのオブジェクト(SGT)を使用して定義されます(簡易ポリシー管理)。

  • ユーザー アイデンティティとリソース アイデンティティは、Cisco TrustSec 対応スイッチ インフラストラクチャ全体で保持されます。

次の図に、セキュリティ グループの名前ベースのポリシー適用のための展開を示します。

Figure 1. セキュリティ グループ名に基づくポリシー適用の導入

Cisco TrustSec を実装すると、サーバーのセグメンテーションをサポートするセキュリティ ポリシーを設定できます。また、Cisco TrustSec の実装には次のような特徴があります。

  • 簡易ポリシー管理用に、サーバーのプールに SGT を割り当てることができます。

  • SGT 情報は、Cisco TrustSec 対応スイッチのインフラストラクチャ内に保持されます。

  • ASA は、Cisco TrustSec ドメイン全体にポリシーを適用するために IP-SGT マッピングを利用できます。

  • サーバーの 802.1x 許可が必須であるため、導入を簡略化できます。

ASA によるセキュリティ グループベースのポリシーの適用


Note

ユーザーベースのセキュリティ ポリシーおよびセキュリティ グループベースのポリシーは、ASA で共存できます。セキュリティ ポリシーでは、ネットワーク属性、ユーザーベースの属性、およびセキュリティ グループベースの属性の任意の組み合わせを設定できます。

Cisco TrustSec と連携するように ASA を設定するには、ISE から Protected Access Credential(PAC)ファイルをインポートする必要があります。

PAC ファイルを ASA にインポートすると、ISE との安全な通信チャネルが確立されます。チャネルが確立されると、ASA は、ISE を使用して PAC セキュア RADIUS トランザクションを開始し、Cisco TrustSec 環境データをダウンロードします(具体的には、セキュリティ グループ テーブル)。セキュリティ グループ テーブルによって、SGT がセキュリティ グループ名にマッピングされます。セキュリティ グループの名前は ISE 上で作成され、セキュリティ グループをわかりやすい名前で識別できるようになります。

ASA は、最初にセキュリティ グループ テーブルをダウンロードするときに、テーブル内のすべてのエントリを順を追って調べ、そこで設定されているセキュリティ ポリシーに含まれるすべてのセキュリティ グループの名前を解決します。次に、ASA は、それらのセキュリティ ポリシーをローカルでアクティブ化します。ASA がセキュリティ グループの名前を解決できない場合、不明なセキュリティ グループ名に対して syslog メッセージを生成します。

次の図に、セキュリティ ポリシーが Cisco TrustSec で適用される仕組みを示します。

Figure 2. セキュリティ ポリシーの適用

  1. エンドポイント デバイスは、アクセス レイヤ デバイスに直接アクセスするか、またはリモート アクセスを介してアクセスし、Cisco TrustSec で認証します。

  2. アクセス レイヤ デバイスは 802.1X や Web 認証などの認証方式を使用して ISE のエンドポイント デバイスを認証します。エンドポイント デバイスは、ロールおよびグループ メンバーシップ情報を渡して、デバイスを適切なセキュリティ グループに分類します。

  3. アクセス レイヤ デバイスは SXP を使用して、アップストリーム デバイスに IP-SGT マッピングを伝搬します。

  4. ASA はパケットを受信すると、SXP から渡された IP-SGT マッピングを使用して、送信元および宛先 IP アドレスの SGT を調べます。

    マッピングが新規の場合、ASA はそのマッピングをローカル IP-SGT マネージャ データベースに記録します。コントロール プレーンで実行される IP-SGT マネージャ データベースは、各 IPv4 または IPv6 アドレスの IP-SGT マッピングを追跡します。データベースでは、マッピングが学習された送信元が記録されます。SXP 接続のピア IP アドレスがマッピングの送信元として使用されます。各 IP-SGT にマップされたエントリには、送信元が複数存在する可能性があります。

    ASA が送信者として設定されている場合、ASA は SXP ピアに IP-SGT マッピング エントリをすべて送信します。

  5. ASA で SGT またはセキュリティ グループの名前を使用してセキュリティ ポリシーが設定されている場合、ASA はそのポリシーを適用します。(ASA では、SGT またはセキュリティ グループの名前を含むセキュリティ ポリシーを作成できます。セキュリティ グループの名前に基づいてポリシーを適用するには、ASA はセキュリティ グループ テーブルで SGT にセキュリティ グループの名前をマッピングする必要があります)。

    ASA がセキュリティ グループ テーブルでセキュリティ グループの名前を見つけることができず、その名前がセキュリティ ポリシーに含まれている場合、ASA は、セキュリティ グループの名前を不明と見なし、syslog メッセージを生成します。ISE からのセキュリティ グループ テーブルの更新とセキュリティ グループの名前の学習後、ASA はセキュリティ グループの名前がわかっていることを示す syslog メッセージを生成します。

セキュリティ グループに対する変更が ISE に及ぼす影響

ASA は、ISE から最新のテーブルをダウンロードして、セキュリティ グループ テーブルを定期的に更新します。セキュリティ グループは、ダウンロードの合間に ISE で変更できます。これらの変更は、セキュリティ グループ テーブルが更新されるまで、ASA には反映されません。


Tip

ISE のポリシー設定の変更は、メンテナンス時間中にスケジュールすることをお勧めします。さらに、セキュリティ グループの変更を確実に行うには、ASA でセキュリティ グループ テーブルを手動で更新します。

このようにポリシー設定の変更を行うことで、セキュリティ グループの名前を解決し、セキュリティ ポリシーを即座にアクティブ化できる可能性が最大限に高まります。

セキュリティ グループ テーブルは、環境データのタイマーが期限切れになると自動的に更新されます。セキュリティ グループ テーブルの更新は、オンデマンドでトリガーすることも可能です。

ISE でセキュリティ グループを変更する場合、ASA がセキュリティ グループ テーブルを更新するときに次のイベントが発生します。

  • セキュリティ グループの名前を使用して設定されたセキュリティ グループ ポリシーだけは、セキュリティ グループ テーブルを通じて解決する必要があります。セキュリティ グループ タグを含むポリシーは、常にアクティブになります。

  • セキュリティ グループ テーブルが初めて利用できるようになったときに、セキュリティ グループの名前を含むすべてのポリシーが確認され、セキュリティ グループの名前が解決され、ポリシーがアクティブ化されます。また、タグ付きのすべてのポリシーが確認されます。不明なタグの場合は syslog が生成されます。

  • セキュリティ グループ テーブルの期限が切れていても、そのテーブルをクリアするか、新しいテーブルを使用できるようになるまで、最後にダウンロードしたセキュリティ グループ テーブルに従って引き続きポリシーが適用されます。

  • ASA で解決済みのセキュリティ グループの名前が不明になると、セキュリティ ポリシーが非アクティブ化されます。ただし、ASA の実行コンフィギュレーションではセキュリティ ポリシーが保持されます。

  • PAP で既存のセキュリティ グループが削除されると、既知のセキュリティ グループ タグが不明になる可能性がありますが、ASA のポリシー ステータスは変化しません。既知のセキュリティ グループの名前は未解決になる可能性があり、その場合、ポリシーは非アクティブになります。セキュリティ グループの名前が再利用される場合、新しいタグを使用してポリシーが再コンパイルされます。

  • PAP で新しいセキュリティ グループが追加されると、不明なセキュリティ グループ タグが既知になる可能性があり、syslog メッセージが生成されます。ただし、ポリシー ステータスは変化しません。不明なセキュリティ グループの名前が解決される可能性があり、その場合、関連付けられているポリシーがアクティブ化されます。

  • PAP でタグの名前が変更された場合、タグを使用して設定されたポリシーによって新しい名前が表示されます。ポリシー ステータスは変化しません。セキュリティ グループの名前を使用して設定されたポリシーは、新しいタグ値を使用して再コンパイルされます。

ASA での送信者および受信者のロール

ASA では、SXP の他のネットワーク デバイスとの間の IP-SGT マッピング エントリの送受信がサポートされます。SXP を使用すると、セキュリティ デバイスとファイアウォールが、ハードウェアをアップグレードまたは変更する必要なく、アクセス スイッチからのアイデンティティ情報を学習できます。また、SXP を使用して、アップストリーム デバイス(データセンター デバイスなど)からの IP-SGT マッピング エントリをダウンストリーム デバイスに渡すこともできます。ASA は、アップストリームおよびダウンストリームの両方向から情報を受信できます。

ASA での SXP ピアへの SXP 接続を設定する場合は、アイデンティティ情報を交換できるように、ASA を送信者または受信者として指定する必要があります。

  • 送信者モード:ASA で収集されたアクティブな IP-SGT マッピング エントリをすべてポリシー適用のためアップストリーム デバイスに転送できるように ASA を設定します。

  • 受信者モード:ダウンストリーム デバイス(SGT 対応スイッチ)からの IP-SGT マッピング エントリを受信し、ポリシー定義作成のためにこの情報を使用できるように ASA を設定します。

SXP 接続の一方の端が送信者として設定されている場合、もう一方の端は受信者として設定する必要があります。逆の場合も同様です。SXP 接続の両端の両方のデバイスに同じロール(両方とも送信者または両方とも受信者)が設定されている場合、SXP 接続が失敗し、ASA は syslog メッセージを生成します。

SXP 接続が複数ある場合でも、IP-SGT マッピング データベースからダウンロードされた IP-SGT マッピング エントリを学習できます。ASA で SXP ピアへの SXP 接続が確立されると、受信者が送信者から IP-SGT マッピング データベース全体をダウンロードします。この後に行われる変更はすべて、新しいデバイスがネットワークに接続されたときにのみ送信されます。このため、SXP の情報が流れる速さは、エンド ホストがネットワーク認証を行う速さに比例します。

SXP 接続を通じて学習された IP-SGT マッピング エントリは、SXP IP-SGT マッピング データベースで管理されます。同じマッピング エントリが異なる SXP 接続を介して学習される場合もあります。マッピング データベースは、学習した各マッピング エントリのコピーを 1 つ保持します。同じ IP-SGT マッピング値の複数のマッピング エントリは、マッピングを学習した接続のピア IP アドレスによって識別されます。SXP は IP-SGT マネージャに対して、新しいマッピングが初めて学習された場合にはマッピング エントリを追加するように、SXP データベース内の最後のコピーが削除された場合にはマッピング エントリを削除するように要求します。

SXP 接続が送信者として設定されている場合は必ず、SXP は IP-SGT マネージャに対して、デバイスで収集したすべてのマッピング エントリをピアに転送するよう要求します。新しいマッピングがローカルで学習されると、IP-SGT マネージャは SXP に対して、送信者として設定されている接続を介してそのマッピングを転送するよう要求します。

ASA を SXP 接続の送信者および受信者の両方として設定すると、SXP ループが発生する可能性があります。つまり、SXP データが最初にそのデータを送信した SXP ピアで受信される可能性があります。

ISE への ASA の登録

ASA が PAC ファイルを正常にインポートするには、ISE の認識された Cisco TrustSec ネットワーク デバイスとして ASA を設定する必要があります。ISE に ASA を登録するには、次の手順を実行します。

Procedure

Step 1

ISE にログインします。

Step 2

[Administration] > [Network Devices] > [Network Devices] を選択します。

Step 3

[Add] をクリックします。

Step 4

ASA の IP アドレスを入力します。

Step 5

ISE がユーザー認証用に使用されている場合、[Authentication Settings] 領域に共有秘密を入力します。

ASA で AAA サーバーを設定する場合は、ISE でここで作成した共有秘密を指定します。ASA の AAA サーバーはこの共有秘密を使用して、ISE と通信します。

Step 6

ASA のデバイス名、デバイス ID、パスワード、およびダウンロード間隔を指定します。これらのタスクの実行方法については、ISE のマニュアルを参照してください。

ISE でのセキュリティ グループの作成

ISE と通信するように ASA を設定する場合は、AAA サーバーを指定します。AAA サーバーを ASA で設定する場合は、サーバー グループを指定する必要があります。セキュリティ グループは、RADIUS プロトコルを使用するように設定する必要があります。ISE でセキュリティ グループを作成するには、次の手順を実行します。

Procedure

Step 1

ISE にログインします。

Step 2

[Policy] > [Policy Elements] > [Results] > [Security Group Access] > [Security Group] を選択します。

Step 3

ASA のセキュリティ グループを追加します。(セキュリティ グループは、グローバルであり、ASA に固有ではありません)。

ISE は、タグを使用して [Security Groups] でエントリを作成します。

Step 4

[Security Group Access] 領域で、ASA のデバイス ID クレデンシャルおよびパスワードを設定します。

PAC ファイルの生成

PAC ファイルを生成するには、次の手順を実行します。


Note

PAC ファイルには、ASA および ISE がその間で発生する RADIUS トランザクションを保護できる共有キーが含まれています。このため、必ずこのキーを安全に ASA に保存してください。

Procedure

Step 1

ISE にログインします。

Step 2

[Administration] > [Network Resources] > [Network Devices] を選択します。

Step 3

デバイスのリストから ASA を選択します。

Step 4

[Security Group Access (SGA)] で、[Generate PAC] をクリックします。

Step 5

PAC ファイルを暗号化するには、パスワードを入力します。

PAC ファイルを暗号化するために入力するパスワード(または暗号キー)は、デバイス クレデンシャルの一部として ISE で設定したパスワードとは関係ありません。

ISE は PAC ファイルを生成します。ASA は、フラッシュ、または TFTP、FTP、HTTP、HTTPS、SMB を介してリモート サーバーから PAC ファイルをインポートできます。(PAC ファイルは、インポート前に ASA フラッシュに配置されている必要はありません)。

Cisco TrustSec のガイドライン

ここでは、Cisco TrustSec を設定する前に確認する必要のあるガイドラインおよび制限事項について説明します。

フェールオーバー

  • アクティブ/アクティブおよびアクティブ/スタンバイ コンフィギュレーションの両方で ASA のセキュリティ グループベースのポリシーを設定できます。

  • ASA がフェールオーバー設定の一部である場合、プライマリ ASA デバイスに PAC ファイルをインポートする必要があります。また、プライマリ デバイスで環境データを更新する必要もあります。

  • ASA は、ハイ アベイラビリティ(HA)用に設定された ISE と通信できます。

  • ASA では複数の ISE サーバーを設定できます。最初のサーバーが到達不能の場合、引き続き 2 番目以降のサーバーに接続を試みます。ただし、サーバー リストが Cisco TrustSec 環境データの一部としてダウンロードされた場合、そのリストは無視されます。

  • ISE からダウンロードされた PAC ファイルが ASA で期限切れとなり、ASA が更新されたセキュリティ グループ テーブルをダウンロードできない場合、ASA が更新されたテーブルをダウンロードするまで、最後にダウンロードされたセキュリティ グループ テーブルに基づいてセキュリティ ポリシーを適用し続けます。

クラスタ

  • ASA がクラスタリング構成の一部である場合、制御ユニットに PAC ファイルをインポートする必要があります。

  • ASA がクラスタリング構成の一部である場合、制御ユニットで環境データを更新する必要があります。

IPv6

ASA は、IPv6 と IPv6 対応ネットワーク デバイス用に SXP をサポートします。AAA サーバーは IPv4 アドレスを使用する必要があります。

レイヤ 2 SGT インポジション

  • 物理インターフェイス、サブインターフェイス、冗長インターフェイス、EtherChannel インターフェイス、およびでのみサポートされます。

  • 論理インターフェイスまたは仮想インターフェイス(BVI など)ではサポートされません。

  • SAP ネゴシエーションおよび MACsec を使用したリンク暗号化はサポートされていません。

  • フェールオーバー リンクではサポートされません。

  • クラスタ制御リンクではサポートされません。

  • SGT が変更されても、ASA は既存のフローを再分類しません。以前の SGT に基づいて行われたポリシーに関する決定が、フローのライフサイクルにわたって適用され続けます。ただし、ASA は、パケットが以前の SGT に基づいて分類されたフローに属していても、SGT の変更内容を出力パケットに即座に反映できます。

  • Firepower 1010 スイッチポートおよび VLAN インターフェイスは、レイヤ 2 セキュリティ グループ タグ インポジションをサポートしていません。

その他のガイドライン

  • ASA は、SXP バージョン 3 をサポートしています。ASA は、さまざまな SXP 対応ネットワーク デバイスの SXP バージョンをネゴシエートします。

  • SXP 調整タイマーの期限が切れたときにセキュリティ グループ テーブルを更新するように ASA を設定できます。セキュリティ グループ テーブルはオンデマンドでダウンロードできます。ASA のセキュリティ グループ テーブルが ISE から更新された場合、この変更が適切なセキュリティ ポリシーに反映されます。

  • Cisco TrustSec は、シングル コンテキスト モードおよびマルチ コンテキスト モード(システム コンテキスト モードを除く)で Smart Call Home 機能をサポートしています。

  • ASA は、単一の Cisco TrustSec ドメインでのみ相互運用するように設定できます。

  • ASA は、デバイスの SGT 名のマッピングのスタティック コンフィギュレーションをサポートしていません。

  • NAT は SXP メッセージでサポートされません。

  • SXP はネットワークのエンフォースメント ポイントに IP-SGT マッピングを伝搬します。アクセス レイヤ スイッチがエンフォースメント ポイントと異なる NAT ドメインに属している場合、アップロードする IP-SGT マップは無効であり、実行デバイスに対する IP-SGT マッピング データベース検索から有効な結果を得ることはできません。その結果、ASA は実行デバイスにセキュリティ グループ対応セキュリティ ポリシーを適用できません。

  • SXP 接続に使用する ASA にデフォルト パスワードを設定するか、またはパスワードを使用しないようにします。ただし、接続固有パスワードは SXP ピアではサポートされません。設定されたデフォルト SXP パスワードは導入ネットワーク全体で一貫している必要があります。接続固有パスワードを設定すると、接続が失敗する可能性があり、警告メッセージが表示されます。デフォルト パスワードを使用して接続を設定しても設定されていない場合、結果はパスワードなしで接続を構成した場合と同じです。

  • ASA を SXP 送信者または受信者、あるいはその両方として設定できます。ただし、SXP 接続のループは、デバイスにピアへの双方向の接続がある場合、またはデバイスがデバイスの単方向に接続されたチェーンの一部である場合に発生します。(ASA は、データセンターのアクセス レイヤからのリソースの IP-SGT マッピングを学習できます。ASA は、これらのタグをダウンストリーム デバイスに伝搬する必要がある場合があります)。SXP 接続ループによって、SXP メッセージ転送の予期しない動作が発生する可能性があります。ASA が送信者および受信者として設定されている場合、SXP 接続ループが発生し、SXP データが最初にそのデータを送信したピアで受信される可能性があります。

  • ASA のローカル IP アドレスを変更する場合は、すべての SXP ピアでピア リストが更新されていることを確認する必要があります。さらに、SXP ピアがその IP アドレスを変更する場合は、変更が ASA に反映されていることを確認する必要があります。

  • 自動 PAC ファイル プロビジョニングはサポートされません。ASA 管理者は、ISE 管理インターフェイスの PAC ファイルを要求し、それを ASA にインポートする必要があります。

  • PAC ファイルには有効期限があります。現在の PAC ファイルが期限切れになる前に更新された PAC ファイルをインポートする必要があります。そうしないと、ASA は環境データの更新を取得できません。ISE からダウンロードされた PAC ファイルが ASA で期限切れとなり、ASA が更新されたセキュリティ グループ テーブルをダウンロードできない場合、ASA が更新されたテーブルをダウンロードするまで、最後にダウンロードされたセキュリティ グループ テーブルに基づいてセキュリティ ポリシーを適用し続けます。

  • セキュリティ グループが ISE で変更された(名前変更、削除など)場合、ASA は、変更されたセキュリティ グループに関連付けられた SGT またはセキュリティ グループ名を含む ASA セキュリティ ポリシーのステータスを変更しません。ただし、ASA は、それらのセキュリティ ポリシーが変更されたことを示す syslog メッセージを生成します。

  • マルチキャスト タイプは ISE 1.0 ではサポートされていません。

  • SXP 接続は、次の例に示すように、ASA によって相互接続された 2 つの SXP ピア間で初期化状態のままとなります。 

    
(SXP peer A) - - - - (ASA) - - - (SXP peer	B)

    したがって、Cisco TrustSec と統合するように ASA を設定する場合は、SXP 接続を設定するために、ASA で、no-NAT、no-SEQ-RAND、MD5-AUTHENTICATION TCP オプションをイネーブルにする必要があります。SXP ピア間の SXP ポート TCP 64999 宛てのトラフィックに対して TCP 状態バイパス ポリシーを作成します。そして、適切なインターフェイスにポリシーを適用します。

    たとえば、次のコマンド セットは、TCP 状態バイパス ポリシーの ASA の設定方法を示しています。 

    
access-list SXP-MD5-ACL extended permit tcp host peerA host peerB eq 64999
access-list SXP-MD5-ACL extended permit tcp host peerB host peerA eq 64999

tcp-map SXP-MD5-OPTION-ALLOW
 tcp-options range 19 19 allow

class-map SXP-MD5-CLASSMAP
 match access-list SXP-MD5-ACL

policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
class SXP-MD5-CLASSMAP
  set connection random-sequence-number disable
  set connection advanced-options SXP-MD5-OPTION-ALLOW
  set connection advanced-options tcp-state-bypass
service-policy global_policy global

Cisco TrustSec と統合するための ASA の設定

Cisco TrustSec と統合するように ASA を設定するには、次のタスクを実行します。

Before you begin

Cisco TrustSec と統合するように ASA を設定する前に、ISE で次のタスクを実行する必要があります。

Procedure

Step 1

Cisco TrustSec と統合するための AAA サーバーの設定

Step 2

PAC ファイルのインポート

Step 3

Security Exchange Protocol の設定

このタスクでは、SXP のデフォルト値を有効にし、設定します。

Step 4

SXP 接続のピアの追加

Step 5

環境データの更新

必要に応じてこれを実行してください。

Step 6

セキュリティ ポリシーの設定

Step 7

レイヤ 2 セキュリティ グループのタギング インポジションの設定

Cisco TrustSec と統合するための AAA サーバーの設定

ここでは、Cisco TrustSec の AAA サーバーを統合する方法について説明します。ASA で ISE と通信するように AAA サーバー グループを設定するには、次の手順を実行します。

Before you begin

  • 参照先のサーバー グループは、RADIUS プロトコルを使用するように設定する必要があります。ASA に非 RADIUS サーバー グループを追加すると、設定は失敗します。

  • ISE もユーザー認証に使用する場合は、ISE に ASA を登録したときに ISE で入力した共有秘密を取得します。この情報については、ISE 管理者に問い合わせてください。

Procedure

Step 1

AAA サーバー グループを作成し、ISE サーバーと通信するように ASA の AAA サーバー パラメータを設定します。

aaa-server server-tag protocol radius

Example:


ciscoasa(config)# aaa-server ISEserver protocol radius

server-tag 引数には、サーバー グループ名を指定します。

Step 2

AAA サーバー グループ コンフィギュレーション モードを終了します。 

exit

Example:


ciscoasa(config-aaa-server-group)# exit

Step 3

AAA サーバーを AAA サーバー グループの一部として設定し、ホスト固有の接続データを設定します。 


ciscoasa(config)# aaa-server server-tag(interface-name) host server-ip

Example:


ciscoasa(config)# aaa-server ISEserver (inside) host 192.0.2.1

interface-name 引数には、ISE サーバーが配置されているネットワーク インターフェイスを指定します。このパラメータにはカッコが必要です。server-tag 引数は、AAA サーバー グループの名前です。server-ip 引数には、ISE サーバーの IP アドレスを指定します。

Step 4

ISE サーバーで ASA の認証に使用されるサーバー秘密値を指定します。 

key key

Example:


ciscoasa(config-aaa-server-host)# key myexclusivekey

key 引数は、最大 127 文字の英数字キーワードです。

ISE もユーザー認証に使用する場合は、ISE に ASA を登録したときに ISE で入力した共有秘密を入力します。

Step 5

AAA サーバー ホスト コンフィギュレーション モードを終了します。 

exit

Example:


ciscoasa(config-aaa-server-host)# exit

Step 6

環境データ取得のために Cisco TrustSec によって使用される AAA サーバー グループを識別します。 

cts server-group AAA-server-group-name

Example:


ciscoasa(config)# cts server-group ISEserver

AAA-server-group-name 引数は、ステップ 1 で server-tag 引数に指定した AAA サーバー グループの名前です。

Note

 

ASA では、サーバー グループの 1 つのインスタンスだけを Cisco TrustSec 用に設定できます。

次に、Cisco TrustSec との統合のために ISE サーバーと通信するように ASA を設定する例を示します。 


ciscoasa(config)#aaa-server ISEserver protocol radius 
ciscoasa(config-aaa-server-group)# exit
ciscoasa(config)# aaa-server ISEserver (inside) host 192.0.2.1   
ciscoasa(config-aaa-server-host)# key myexclusivemumblekey
ciscoasa(config-aaa-server-host)# exit
ciscoasa(config)# cts server-group ISEserver

PAC ファイルのインポート

ここでは、PAC ファイルをインポートする方法について説明します。

Before you begin

  • ASA が PAC ファイルを生成するには、ISE の認識された Cisco TrustSec ネットワーク デバイスとして ASA を設定する必要があります。

  • ISE での PAC ファイルの生成時に PAC ファイルを暗号化するために使用されたパスワードを取得します。ASA は、PAC ファイルをインポートし、復号化する場合にこのパスワードが必要となります。

  • インポートすると、PAC ファイルは NVRAM に常駐します。HA モードで動作している場合、フェールオーバーリンクとステートフルリンクを正しく設定すると、PAC ファイルをアクティブユニットにインポートすることで、セカンダリに複製されます。インポートされたファイルは NVRAM にあるため、ソフトウェアのアップグレード後など、デバイスがリブートするたびに、同ファイルを再インポートする必要があります。

  • デバイスは単一の PAC ファイルを使用します。複数の PAC ファイルをインポートすると、以前にインポートされたファイルが、インポートした各 PAC ファイルで置き換えられます。

  • ASA は、ISE で生成された PAC ファイルにアクセスする必要があります。ASA は、フラッシュ、または TFTP、FTP、HTTP、HTTPS、SMB を介してリモート サーバーから PAC ファイルをインポートできます。(PAC ファイルは、インポート前に ASA フラッシュに配置されている必要はありません)。

  • ASA のサーバー グループを設定します。

Procedure

Cisco TrustSec PAC ファイルをインポートします。

cts import-pacfilepath password value

Example:


ciscoasa(config)# cts import-pac disk0:/xyz.pac password IDFW-pac99

value 引数には、PAC ファイルの暗号化に使用するパスワードを指定します。このパスワードは、デバイス クレデンシャルの一部として ISE で設定したパスワードとは関係ありません。filepath 引数には、次のオプションのいずれか 1 つを入力します。

シングル モード

  • disk0:disk0 のパスおよびファイル名

  • disk1:disk1 のパスおよびファイル名

  • flash:フラッシュのパスおよびファイル名

  • ftp:FTP のパスおよびファイル名

  • http:HTTP のパスおよびファイル名

  • https:HTTPS のパスおよびファイル名

  • smb:SMB のパスおよびファイル名

  • tftp:TFTP のパスおよびファイル名

マルチ モード

  • http:HTTP のパスおよびファイル名

  • https:HTTPS のパスおよびファイル名

  • smb:SMB のパスおよびファイル名

  • tftp:TFTP のパスおよびファイル名

次に、PAC ファイルを ASA にインポートする例を示します。 


ciscoasa(config)# cts import pac disk0:/pac123.pac password hideme
PAC file successfully imported

Security Exchange Protocol の設定

Cisco TrustSec を使用するように Security Exchange Protocol(SXP)を有効にして設定する必要があります。

Before you begin

少なくとも 1 つのインターフェイスを UP/UP ステートにする必要があります。すべてのインターフェイスがダウンした状態で SXP がイネーブルになっている場合、ASA では、SXP が動作していない、あるいは SXP をイネーブルにできなかったことを示すメッセージは表示されません。show running-config コマンドを入力して設定を確認すると、コマンドの出力に次のメッセージが表示されます。 

 
 “WARNING: SXP configuration in process, please wait for a few moments and try again.”

Procedure

Step 1

ASA で SXP をイネーブルにします。SXP は、デフォルトで、ディセーブルに設定されています。

cts sxp enable

Example:


ciscoasa(config)# cts sxp enable

Step 2

(任意。推奨されません)SXP 接続のデフォルトの送信元 IP アドレスを設定します。

cts sxp default source-ip ipaddress

Example:


ciscoasa(config)# cts sxp default source-ip 192.168.1.100

ipaddress 引数は、IPv4 または IPv6 アドレスです。

SXP 接続のデフォルトの送信元 IP アドレスを設定する場合は、ASA 発信インターフェイスと同じアドレスを指定する必要があります。送信元 IP アドレスが発信インターフェイスのアドレスと一致しない場合、SXP 接続は失敗します。

SXP 接続の送信元 IP アドレスが設定されていない場合、ASA は、route/ARP 検索を実行して、SXP 接続用の発信インターフェイスを判別します。SXP 接続のデフォルトの送信元 IP アドレスを設定せずに、ASA が route/ARP 検索を実行して SXP 接続の送信元 IP アドレスを決定できるようにすることを推奨します。

Step 3

(任意)SXP ピアでの TCP MD5 認証のデフォルト パスワードを設定します。デフォルトでは、SXP 接続にパスワードは設定されていません。

cts sxp default password [0 | 8] password

Example:


ciscoasa(config)# cts sxp default password 8 IDFW-TrustSec-99

デフォルトのパスワードを使用するように SXP 接続ピアを設定した場合、または設定した場合にのみ、デフォルトのパスワードを設定します。

パスワードの長さは復号レベルによって異なります。指定しない場合、デフォルトは 0 になります。

  • 0 :暗号化されていないクリアテキスト。パスワードには、最大 80 文字を指定できます。

  • 8 :暗号化テキスト。パスワードには、最大 162 文字を指定できます。

Step 4

(任意)ASA が SXP ピア間での新しい SXP 接続の設定を試行する時間間隔を指定します。

cts sxp retry period timervalue

Example:


ciscoasa(config)# cts sxp retry period 60

ASA は、成功した接続が確立されるまで接続を試み続け、失敗した試行後、再度試行するまでに再試行間隔の間待機します。再試行期間には 0 ~ 64000 秒の値を指定できます。デフォルトは 120 秒です。0 秒を指定すると、ASA は SXP ピアへの接続を試行しません。

再試行タイマーは、SXP ピア デバイスとは異なる値に設定することを推奨します。

Step 5

(任意)調整タイマーの値を指定します。

cts sxp reconciliation period timervalue

Example:


ciscoasa(config)# cts sxp reconciliation period 60

SXP ピアが SXP 接続を終了すると、ASA はホールド ダウン タイマーを開始します。ホールド ダウン タイマーの実行中に SXP ピアが接続されると、ASA は調整タイマーを開始します。次に、ASA は、SXP マッピング データベースを更新して、最新のマッピングを学習します。

調整タイマーの期限が切れると、ASA は、SXP マッピング データベースをスキャンして、古いマッピング エントリ(前回の接続セッションで学習されたエントリ)を識別します。ASA は、これらの接続を廃止としてマークします。調整タイマーが期限切れになると、ASA は、SXP マッピング データベースから廃止エントリを削除します。

調整期間には 1 ~ 64000 秒の値を指定できます。デフォルトは 120 秒です。

Step 6

(任意)SXP ピアが SXP 接続を終了した後にピアから学習した IP-SGT マッピングに削除ホールド ダウン タイマーを設定します。

cts sxp delete-hold-down period timervalue

タイマーの値は、SXP 接続の切断から学習した IP-SGT マッピングが削除されるまで保持する秒数を 120 ~ 64000 の範囲で指定します。

Example:


ciscoasa(config)# cts sxp delete-hold-down period 240

各 SXP 接続が削除ホールド ダウン タイマーに関連付けられます。このタイマーは、リスナー側の SXP 接続が切断されたときにトリガーされます。この SXP 接続から学習した IP-SGT マッピングはすぐには削除されません。その代わりに、削除ホールド ダウン タイマーの有効期限が切れるまで保持されます。このタイマーの有効期限が切れると、マッピングが削除されます。

Step 7

(任意)SXPv2 以下を使用するピアへのスピーカーとして機能する場合の IPv4 サブネット拡張の深さを設定します。

cts sxp mapping network-map maximum_hosts

ピアが SXPv2 以下を使用する場合、ピアはサブネット バインディングへの SGT を理解できません。ASA は、個々のホスト バインディングに IPv4 サブネット バインディングを拡張できます(IPv6 バインディングは拡張されません)。このコマンドでは、サブネット バインディングから生成できるホスト バインディングの最大数が指定されます。

最大数には 0 ~ 65535 を指定できます。デフォルトは 0 で、サブネット バインディングがホスト バインディングに拡張されないことを意味します。

SXP 接続のピアの追加

SXP 接続のピアを追加するには、次の手順を実行します。

Procedure

SXP ピアへの SXP 接続を設定します。

cts sxp connection peer peer_ip_address [source source_ip_address ] password {default | none } [mode {local | peer }] {speaker | listener }

Example:


ciscoasa(config)# cts sxp connection peer 192.168.1.100 password default mode peer speaker

SXP 接続は IP アドレスごとに設定されます。単一デバイスのペアは複数の SXP 接続に対応できます。

peer_ip_address 引数は、SXP ピアの IPv4 または IPv6 アドレスです。ピア IP アドレスは、ASA 発信インターフェイスからアクセスできる必要があります。

source_ip_address 引数は、SXP 接続のローカル IPv4 または IPv6 アドレスです。送信元 IP アドレスは ASA 発信インターフェイスと同じである必要があります。そうでなければ、接続が失敗します。

SXP 接続の送信元 IP アドレスを設定せずに、ASA が route/ARP 検索を実行して SXP 接続の送信元 IP アドレスを決定できるようにすることを推奨します。

SXP 接続に認証キーを使用するかどうかを指定します。

  • default:SXP 接続用に設定されたデフォルト パスワードを使用します。

  • none:SXP 接続にパスワードを使用しません。

SXP 接続のモードを指定します。

  • local:ローカル SXP デバイスを使用します。

  • peer:ピア SXP デバイスを使用します。

SXP 接続で、ASA が送信者または受信者のいずれとして機能するかを指定します。

  • speaker:ASA は IP-SGT マッピングをアップストリーム デバイスに転送できます。

  • listener:ASA はダウンストリーム デバイスから IP-SGT マッピングを受信できます。

次に、ASA で SXP ピアを設定する例を示します。 

 
ciscoasa(config)# cts sxp connection peer 192.168.1.100 password default 
mode peer speaker
ciscoasa(config)# cts sxp connection peer 192.168.1.101 password default 
mode peer speaker

環境データの更新

ASA は、ISE からセキュリティ グループ タグ(SGT)名テーブルなどの環境データをダウンロードします。ASA で次のタスクを完了すると、ASA は、ISE から取得した環境データを自動的にリフレッシュします。

  • ISE と通信するように AAA サーバーを設定します。

  • ISE から PAC ファイルをインポートします。

  • Cisco TrustSec 環境データを取得するために ASA で使用する AAA サーバー グループを識別します。

通常、ISE からの環境データを手動でリフレッシュする必要はありません。ただし、セキュリティ グループが ISE で変更されることがあります。ASA セキュリティ グループ テーブルのデータをリフレッシュするまで、これらの変更は ASA に反映されません。そのため、ASA のデータをリフレッシュして、ISE でのセキュリティ グループの変更が確実に ASA に反映されるようにします。


Note

メンテナンス時間中に ISE のポリシー設定および ASA での手動データ リフレッシュをスケジュールすることを推奨します。このようにポリシー設定の変更を処理すると、セキュリティ グループ名が解決される可能性が最大化され、セキュリティ ポリシーが ASA で即時にアクティブ化されます。

環境データを更新するには、次の手順を実行します。

Procedure

ISE からの環境データを更新し、設定されたデフォルト値に調整タイマーをリセットします。 


cts refresh environment-data

Example:


ciscoasa(config)# cts refresh environment-data

セキュリティ ポリシーの設定

Cisco TrustSec ポリシーは、多くの ASA 機能に組み込むことができます。拡張 ACL を使用する機能(この章でサポート対象外としてリストされている機能を除く)で Cisco TrustSec を使用できます。拡張 ACL に、従来のネットワークベースのパラメータとともにセキュリティ グループ引数を追加できます。

たとえば、アクセス ルールは、ネットワーク情報を使用してインターフェイスのトラフィックを許可または拒否します。Cisco TrustSec では、セキュリティ グループに基づいてアクセスを制御できます。たとえば、sample_securitygroup1 10.0.0.0 255.0.0.0 のアクセス ルールを作成できます。これは、セキュリティ グループがサブネット 10.0.0.0/8 上のどの IP アドレスを持っていてもよいことを意味します。

セキュリティ グループの名前(サーバー、ユーザー、管理対象外デバイスなど)、ユーザーベース属性、および従来の IP アドレスベースのオブジェクト(IP アドレス、Active Directory オブジェクト、および FQDN)の組み合わせに基づいてセキュリティ ポリシーを設定できます。セキュリティ グループ メンバーシップはロールを超えて拡張し、デバイスと場所属性を含めることができます。また、セキュリティ グループ メンバーシップは、ユーザー グループ メンバーシップに依存しません。

次に、ローカルで定義されたセキュリティ オブジェクト グループを使用する ACL を作成する例を示します。 


object-group security objgrp-it-admin
   security-group name it-admin-sg-name
   security-group tag 1
object-group security objgrp-hr-admin
   security-group name hr-admin-sg-name  // single sg_name
   group-object it-admin     // locally defined object-group as nested object
object-group security objgrp-hr-servers
security-group name hr-servers-sg-name
object-group security objgrp-hr-network
security-group tag 2
access-list hr-acl permit ip object-group-security objgrp-hr-admin any 
object-group-security objgrp-hr-servers

前の例で設定した ACL をアクティブにするには、アクセス グループまたはモジュラ ポリシー フレームワークを設定します。

その他の例: 


!match src hr-admin-sg-name from any network to dst host 172.23.59.53
access-list idw-acl permit ip security-group name hr-admin-sg-name any host 172.23.59.53

!match src hr-admin-sg-name from host 10.1.1.1 to dst any
access-list idfw-acl permit ip security-group name hr-admin-sg-name host 10.1.1.1 any

!match src tag 22 from any network to dst hr-servers-sg-name any network
access-list idfw-acl permit ip security-group tag 22 any security-group 
name hr-servers-sg-name any

!match src user mary from any host to dst hr-servers-sg-name any network
access-list idfw-acl permit ip user CSCO\mary any security-group 
name hr-servers-sg-name any

!match src objgrp-hr-admin from any network to dst objgrp-hr-servers any network
access-list idfw-acl permit ip object-group-security objgrp-hr-admin any 
object-group-security objgrp-hr-servers any

!match src user Jack from objgrp-hr-network and ip subnet 10.1.1.0/24 
! to dst objgrp-hr-servers any network
access-list idfw-acl permit ip user CSCO\Jack object-group-security 
objgrp-hr-network 10.1.1.0 255.255.255.0 object-group-security objgrp-hr-servers any

!match src user Tom from security-group mktg any google.com
object network net-google
fqdn google.com
access-list sgacl permit ip sec name mktg any object net-google

! If user Tom or object_group security objgrp-hr-admin needs to be matched, 
! multiple ACEs can be defined as follows:
access-list idfw-acl2 permit ip user CSCO\Tom 10.1.1.0 255.255.255.0 
    object-group-security objgrp-hr-servers any
access-list idfw-acl2 permit ip object-group-security objgrp-hr-admin 
    10.1.1.0 255.255.255.0 object-group-security objgrp-hr-servers any

レイヤ 2 セキュリティ グループのタギング インポジションの設定

Cisco TrustSec は、各ネットワーク ユーザーおよびリソースの特定と認証を行い、セキュリティ グループ タグ(SGT)と呼ばれる 16 ビットの番号を割り当てます。この ID は、ネットワーク ホップ間で順番に伝搬されます。これにより、ASA、スイッチ、ルータなどの任意の中間デバイスで、この ID タグに基づいてポリシーを適用できます。

SGT とイーサネット タギング(レイヤ 2 SGT インポジションとも呼ばれる)を利用すると、ASA でシスコ独自のイーサネット フレーミング(EtherType 0x8909)を使用して、イーサネット インターフェイスでセキュリティ グループ タグを送受信できます。これにより、送信元のセキュリティ グループ タグをプレーン テキストのイーサネット フレームに挿入できます。ASA は、インターフェイスごとの手動設定に基づいて、発信パケットにセキュリティ グループ タグを挿入し、着信パケットのセキュリティ グループ タグを処理します。この機能を使用することで、ネットワーク デバイス間におけるエンドポイント ID の伝搬をインラインかつホップバイホップで実行できます。また、各ホップ間でシームレスなレイヤ 2 SGT インポジションを実現できます。

次の図 に、レイヤ 2 SGT インポジションの一般的な例を示します。

Figure 3. レイヤ 2 SGT インポジション

使用シナリオ

次の表で、この機能を設定した場合の入力トラフィックの予期される動作について説明します。

Table 1. 入力トラフィック

インターフェイス コンフィギュレーション

タグ付きの受信パケット

タグのない受信パケット

コマンドが発行されない。

パケットがドロップされる。

SGT 値が IP-SGT マネージャから取得される。

cts manual コマンドが発行される。

SGT 値が IP-SGT マネージャから取得される。

SGT 値が IP-SGT マネージャから取得される。

cts manual コマンドと policy static sgt sgt_number コマンドが両方とも発行される。

SGT 値が policy static sgt sgt_number コマンドで取得される。

SGT 値が policy static sgt sgt_number コマンドで取得される。

cts manual コマンドと policy static sgt sgt_number trusted コマンドが両方とも発行される。

SGT 値がパケットのインライン SGT から取得される。

SGT 値が policy static sgt sgt_number コマンドで取得される。


Note

IP-SGT マネージャと一致する IP-SGT マッピングが存在しない場合、予約されている SGT 値(「不明」を表す「0x0」)が使用されます。

次の表で、この機能を設定した場合の出力トラフィックの予期される動作について説明します。

Table 2. 出力トラフィック

インターフェイス コンフィギュレーション

送信パケットのタグの有無

コマンドが発行されない。

タグなし

cts manual コマンドが発行される。

タグ付き

cts manual コマンドと propagate sgt コマンドが両方とも発行される。

タグ付き

cts manual コマンドと no propagate sgt コマンドが両方とも発行される。

タグなし

次の表で、この機能を設定した場合の to-the-box トラフィックと from-the-box トラフィックの予期される動作について説明します。

Table 3. to-the-box トラフィックと from-the-box トラフィック

インターフェイス コンフィギュレーション

受信パケットのタグの有無

to-the-box トラフィック用の入力インターフェイスで、コマンドが発行されない。

パケットがドロップされる。

to-the-box トラフィック用の入力インターフェイスで、cts manual コマンドが発行される。

パケットは受け入れられるが、ポリシーの適用や SGT の伝搬は行われない。

cts manual コマンドが発行されない。または、from-the-box トラフィック用の出力インターフェイスで、cts manual コマンドと no propagate sgt コマンドが両方とも発行される。

タグなしパケットは送信されるが、ポリシーの適用は行われない。SGT 値が IP-SGT マネージャから取得される。

cts manual コマンドが発行される。または、from-the-box トラフィック用の出力インターフェイスで、cts manual コマンドと propagate sgt コマンドが両方とも発行される。

タグ付きパケットが送信される。SGT 値が IP-SGT マネージャから取得される。


Note

IP-SGT マネージャと一致する IP-SGT マッピングが存在しない場合、予約されている SGT 値(「不明」を表す「0x0」)が使用されます。

インターフェイスでのセキュリティ グループ タグの設定

インターフェイスでセキュリティ グループ タグを設定するには、次の手順を実行します。

Procedure

Step 1

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

interface id

Example:

ciscoasa(config)# interface gigabitethernet 0/0

Step 2

レイヤ 2 SGT インポジションをイネーブルにし、CTS 手動インターフェイス コンフィギュレーション モードを開始します。 

cts manual
Example:

ciscoasa(config-if)# cts manual

Step 3

インターフェイスでのセキュリティ グループ タグの伝播をイネーブルにします。伝搬はデフォルトでイネーブルになっています。 

propagate sgt
Example:

ciscoasa(config-if-cts-manual)# propagate sgt

Step 4

手動で設定された CTS リンクにポリシーを適用します。

policy static sgt sgt_number [trusted]

Example:

ciscoasa(config-if-cts-manual)# policy static sgt 50 trusted

static キーワードで、リンクの着信トラフィックに適用する SGT ポリシーを指定します。

sgt キーワードと sgt_number 引数には、ピアからの着信トラフィックに適用する SGT 値を指定します。有効な値の範囲は 2 ~ 65519 です。

trusted キーワードは、コマンドで SGT が指定されたインターフェイスの入力トラフィックでは、SGT を上書きしてはいけないことを示します。デフォルトは untrusted です。

次に、レイヤ 2 SGT インポジション用のインターフェイスをイネーブルにし、インターフェイスが信頼できるかどうかを定義する例を示します。 


ciscoasa(config)# interface gi0/0
ciscoasa(config-if)# cts manual
ciscoasa(config-if-cts-manual)# propagate sgt
ciscoasa(config-if-cts-manual)# policy static sgt 50 trusted

IP-SGT バインディングの手動設定

IP-SGT バインディングを手動で設定するには、次の手順を実行します。

Procedure

IP-SGT バインディングを手動で設定します。

cts role-based sgt-map {IPv4_addr[/mask] | IPv6_addr[/prefix]} sgt sgt_value

Example:

ciscoasa(config)# cts role-based sgt-map 10.2.1.2 sgt 50

IPv4 または IPv6 ホスト アドレスを指定できます。また、10.100.10.0/24 のようなサブネット マスクまたはプレフィックス値(IPv6 の場合)を含めることで、ネットワーク アドレスを指定することもできます。sgt_value は SGT 番号で、2 ~ 65519 の範囲です。

トラブルシューティングのヒント

特定のセッションが許可または拒否された理由、使用されている SGT 値(パケットの SGT 値、IP-SGT マネージャから取得した SGT 値、またはインターフェイスで設定した policy static sgt コマンドで取得した SGT 値)、および適用されたセキュリティ グループベースのセキュリティ ポリシーを確認するには、packet-tracer コマンドを使用します。

次に、packet-tracer コマンドの出力例を示します。この出力から、セキュリティ グループ タグと IP アドレスの対応付けがわかります。 


ciscoasa# packet-tracer input inside tcp inline-tag 100 
security-group name alpha 30 security-group tag 31 300
Mapping security-group 30:alpha to IP address 10.1.1.2.
Mapping security-group 31:bravo to IP address 192.168.1.2.

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 192.168.1.0 255.255.255.0 outside....
----------------More---------------------

特定の SGT 値を指定するかどうかにかかわらず、Cisco CMD パケット(EtherType 0x8909)のみをキャプチャするには、capture capture-name type inline-tag tag コマンドを使用します。

次に、SGT 値を指定した場合の show capture コマンドの出力例を示します。 


ciscoasa# show capture my-inside-capture
1: 11:34:42.931012 INLINE-TAG 36 10.0.101.22 > 10.0.101.100: icmp: echo request
2: 11:34:42.931470 INLINE-TAG 48 10.0.101.100 > 10.0.101.22: icmp: echo reply
3: 11:34:43.932553 INLINE-TAG 36 10.0.101.22 > 10.0.101.100: icmp: echo request
4: 11.34.43.933164 INLINE-TAG 48 10.0.101.100 > 10.0.101.22: icmp: echo reply

Cisco TrustSec の例

次に、Cisco TrustSec を使用するように ASA を設定する方法の例を示します。 


// Import an encrypted CTS PAC file
cts import-pac asa.pac password Cisco
// Configure ISE for environment data download
aaa-server cts-server-list protocol radius
aaa-server cts-server-list host 10.1.1.100 cisco123
cts server-group cts-server-list
// Configure SXP peers
cts sxp enable
cts sxp connection peer 192.168.1.100 password default mode peer speaker
//Configure security-group based policies
object-group security objgrp-it-admin
  security-group name it-admin-sg-name
  security-group tag 1
object-group security objgrp-hr-admin
security-group name hr-admin-sg-name
group-object it-admin	
object-group security objgrp-hr-servers
security-group name hr-servers-sg-name
access-list hr-acl permit ip object-group-security objgrp-hr-admin any 
object-group-security objgrp-hr-servers
//Configure security group tagging plus Ethernet tagging
   interface gi0/1
   cts manual
   propagate sgt
   policy static sgt 100 trusted
   cts role-based sgt-map 10.1.1.100 sgt 50

セキュアクライアントCisco TrustSec に対する VPN のサポート

ASA は、VPN セッションのセキュリティ グループ タギングをサポートしています。外部 AAA サーバーを使用するか、または、ローカル ユーザーか VPN グループ ポリシーのセキュリティ グループ タグを設定することで、セキュリティ グループ タグ(SGT)を VPN セッションに割り当てることができます。さらに、レイヤ 2 イーサネット経由で、Cisco TrustSec システムを介してこのタグを伝搬することができます。AAA サーバーが SGT を提供できない場合には、セキュリティ グループ タグをグループ ポリシーで利用したり、ローカル ユーザーが利用したりすることができます。

次は、VPN ユーザーに SGT を割り当てるための一般的なプロセスです。

  1. ユーザーは、ISE サーバーを含む AAA サーバー グループを使用しているリモート アクセス VPN に接続します。

  2. ASA が ISE に AAA 情報を要求します。この情報に SGT が含まれている場合があります。ASA は、ユーザーのトンネル トラフィックに対する IP アドレスの割り当ても行います。

  3. ASA が AAA 情報を使用してユーザーを認証し、トンネルを作成します。

  4. ASA が AAA 情報から取得した SGT と割り当て済みの IP アドレスを使用して、レイヤ 2 ヘッダー内に SGT を追加します。

  5. SGT を含むパケットが Cisco TrustSec ネットワーク内の次のピア デバイスに渡されます。

AAA サーバーの属性に、VPN ユーザーに割り当てるための SGT が含まれていない場合、ASA はグループ ポリシーの SGT を使用します。グループ ポリシーに SGT が含まれていない場合は、タグ 0x0 が割り当てられます。


Note

また、ISE 認可変更(CoA)を使用してポリシーの適用に ISE を使用することもできます。ポリシーの適用を設定する方法については、VPN の設定ガイドを参照してください。

リモート アクセス VPN グループ ポリシーおよびローカル ユーザーへの SGT の追加

リモート アクセス VPN グループ ポリシーまたはローカル ユーザー データベースで定義されたユーザーの VPN ポリシーで SGT 属性を設定するには、次の手順を実行します。

グループ ポリシーまたはローカル ユーザー用のデフォルト SGT はありません。

Procedure

Step 1

リモート アクセス VPN グループ ポリシーで SGT を設定するには、次の手順を実行します。

  1. グループ ポリシー コンフィギュレーション モードを開始します。

    group-policy name

    Example:

    
ciscoasa(config)# group policy Grpolicy1

  2. グループ ポリシー用の SGT を設定します。

    security-group-tag {none | value sgt}

    value を使用してタグを設定する場合、タグは 2 ~ 65519 の範囲で指定できます。SGT を設定しない場合は none を指定します。

    Example:

    
ciscoasa(config-group-policy# security-group-tag value 101

Step 2

ローカル データベースでユーザー用の SGT を設定するには、次の手順を実行します。

  1. 必要に応じて、ユーザーを作成します。

    username name {nopassword | password password [encrypted]} [privilege priv_level]}

    Example:

    
ciscoasa(config)# username newuser password changeme encrypted privilege 15

  2. ユーザー名コンフィギュレーション モードを開始します。

    username name attributes

    Example:

    
asa3(config)# username newuser attributes 
asa3(config-username)#

  3. ユーザー用の SGT を設定します。

    security-group-tag {none | value sgt}

    value を使用してタグを設定する場合、タグは 2 ~ 65519 の範囲で指定できます。SGT を設定しない場合は none を指定します。

    Example:

    
ciscoasa(config-username)# security-group-tag value 101

Cisco TrustSec のモニタリング

Cisco TrustSec の監視については、次のコマンドを参照してください。

  • show running-config cts

  • show running-config [all] cts role-based [sgt-map]

    このコマンドは、ユーザー定義の IP-SGT バインディング テーブル エントリを表示します。

  • show cts sxp connections

    このコマンドでは、マルチ コンテキスト モードが使用されると、特定のユーザー コンテキストの ASA の SXP 接続が表示されます。

  • show conn security-group

    すべての SXP 接続のデータを表示します。

  • show cts environment-data

    ASA のセキュリティ グループ テーブルに含まれる Cisco TrustSec 環境情報を表示します。

  • show cts sgt-map

    制御パスの IP アドレス セキュリティ グループ テーブル マネージャ エントリを表示します。

  • show asp table cts sgt-map

    このコマンドは、データ パスに保持されている IP アドレス セキュリティ グループのテーブル マップ データベースから IP アドレス セキュリティ グループのテーブル マップ エントリを表示します。

  • show cts pac

    ISE から ASA にインポートされた PAC ファイルに関する情報を表示し、PAC ファイルの有効期限が切れた場合、または期限切れの 30 日以内になった場合には、警告メッセージが含まれます。

Cisco TrustSec の履歴

表 4. Cisco TrustSec の履歴

機能名

プラットフォームリリース

説明

Cisco TrustSec

9.0(1)

Cisco TrustSec は、既存の ID 認識型インフラストラクチャを基盤とするアクセス コントロールです。ネットワーク デバイス間のデータ機密性保持を目的としており、セキュリティ アクセス サービスを 1 つのプラットフォーム上で統合します。Cisco TrustSec 機能では、実行デバイスはユーザー属性とエンドポイント属性の組み合わせを使用して、ロールベースおよびアイデンティティベースのアクセス コントロールを決定します。

このリリースでは、ASA に Cisco TrustSec が統合されており、セキュリティ グループに基づいてポリシーが適用されます。Cisco TrustSec ドメイン内のアクセス ポリシーは、トポロジには依存しません。ネットワーク IP アドレスではなく、送信元および宛先のデバイスのロールに基づいています。

ASA は、セキュリティ グループに基づくその他のタイプのポリシー(アプリケーション インスペクションなど)に対しても Cisco TrustSec を活用できます。たとえば、設定するクラス マップの中に、セキュリティ グループに基づくアクセス ポリシーを入れることができます。

access-list extended cts sxp enable cts server-group cts sxp default cts sxp retry period cts sxp reconciliation period cts sxp connection peer cts import-pac cts refresh environment-data object-group securitysecurity-group show running-config cts show running-config object-group clear configure cts clear configure object-group show cts pacshow cts environment-datashow cts environment-data sg-tableshow cts sxp connectionsshow object-group show configure security-group clear cts environment-data debug cts, packet-tracer の各コマンドが導入または変更されました。

レイヤ 2 セキュリティ グループのタグ インポジション

9.3(1)

セキュリティ グループ タギングをイーサネット タギングと組み合わせて使用して、ポリシーを適用できるようになりました。SGT とイーサネット タギング(レイヤ 2 SGT インポジションとも呼ばれる)を利用すると、ASA でシスコ独自のイーサネット フレーミング(EtherType 0x8909)を使用して、イーサネット インターフェイスでセキュリティ グループ タグを送受信できます。これにより、送信元のセキュリティ グループ タグをプレーン テキストのイーサネット フレームに挿入できます。

cts manualpolicy static sgtpropagate sgtcts role-based sgt-mapshow cts sgt-mappacket-tracercaptureshow captureshow asp dropshow asp table classifyshow running-config allclear configure all、および write memory の各コマンドが導入または変更されました。

Security Exchange Protocol(SXP)バージョン 3 の Cisco TrustSec サポート

9.6(1)

ASA の Cisco Trustsec は、ホスト バインディングよりも効率的な SGT とサブネット間のバインディングを可能にする SXPv3 を実装するようになりました。

cts sxp mapping network-map cts role-based sgt-map show cts sgt-map show cts sxp sgt-map show asp table cts sgt-map の各コマンドが導入または変更されました。

Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー

9.8(3)

デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。

新規/変更されたコマンド:cts sxp delete-hold-down period show cts sxp connection brief show cts sxp connections