CBAC - Cisco Config



 ◆ CBAC - コンフィグ設定 - CBACの検査対象プロトコルの指定

 検査ルールの対象をTCPまたはUDPに指定することで、特定のアプリ層プロトコルを指定していなくても
 TCPまたはUDPトラフィック全体が許可されます。ただしTCPまたはUDPだけを指定した検査ルールでは
 アプリ特有のコマンドを認識できないため、戻りのトラフィックをすべて許可できない可能性もあります。

 つまり、TCPとUDP検査指定だけではreflexive ACLと同等のレベルということです。従って、FTPなどを
 CBACの検査対象としたい場合、以下の設定例通り上位層のアプリ層プロトコルを指定する必要があります。
 アイドル時からのセッション管理時間はtimeoutで定義します。デフォルトでTCPは3600秒、UDPは30秒。

 
◆ CBACの検査対象プロトコルの指定
 (config)#
ip inspect name name protocol [ timeout seconds ]

 ◆ CBACの検査対象プロトコルの設定例

 Cisco(config)# ip inspect name CBAC tcp
 Cisco(config)# ip inspect name CBAC udp
 Cisco(config)# ip inspect name CBAC ftp

 Cisco(config)# ip inspect name CBAC icmp




 ◆ CBAC - コンフィグ設定 - インターフェースへの適用

 CBACの検索ルールの作成後、インターフェースに適用します。外部インターフェースに適用する場合は
 一般的には out で適用します。内部インターフェースに適用する場合には、一般的には in で適用します。
 CBACは一般的に外部インターフェースに対して out で適用します。

 ◆ CBACのインターフェースへの適用
 (config)#
interface interface-id
 (config-if)#
ip inspect name [ in | out ]

 そして、外部インターフェースには、NTPやICMPなどパケットだけを許可して、それ以外を全て拒否する
 ACL(deny ip any any)を外部I/Fに in で適用。暗黙の deny が適用されるので許可エントリだけを定義。

 ◆ CBACのインターフェースへの適用の設定例


 Cisco(config)# interface Gigabitethernet 0/0
 Cisco(config-if)# ip address 203.189.105.208 255.255.255.224
 Cisco(config-if)# ip inspect CBAC out
 Cisco(config-if)# ip access-group INTERNET in

 Cisco(config)# ip access-list extended INTERNET
 
Cisco(config-ext-nacl)# permit udp host 133.243.238.163 eq ntp host 203.189.105.208 eq ntp


 CBACを動作させる最低限の設定は以上です。設定例はインターネット接続-PPPoE設定もご参考下さい。


 ◆ CBAC - オプション設定 - 監査トレイル(audit-trail)と警告メッセージ(alert)

 CBACはファイアウォールにより追跡されるイベントに基づいてリアルタイムの監査トレイルと警告を追跡
 することができます。監査トレイルはタイムスタンプ、送信元ホスト、宛先ホスト、ポート番号セッション
 ベースの報告のための送信済み総バイト数を記録する間、全トランザクションの追跡ために syslog で送信。
 この監査トレイル(audit-trail)については、出力されるログが多いためデフォルトで無効になっています。

 ◆ CBACの監査トレイルの設定
 (config)# ip inspect audit trail ← 有効化
 (config)#
no ip inspect audit trail ← 無効化(デフォルト)


 警告(alert)についても疑わしい活動を検知した場合は、syslogサーバにエラーメッセージを送信します。

 ◆ CBACの警告の設定
 (config)# ip inspect alert-off  ← 有効化(デフォルト)
 (config)#
no ip inspect alert-off  ← 無効化


 上記の設定はグローバルに適用される内容であり、ある特定のCBACの検査ルールごとに監査トレイルや
 警告を有効化、無効化の設定したい場合は、CBAC検査ルール作成時に以下のコマンド構文で設定します。

 (config)# ip inspect name name protocol [ alert { on | off } ] [ audit-trail { on | off } ]



 ◆ CBAC - オプション設定 - タイムアウト値としきい値の設定

 CBACはセッションのステート情報をどのくらい時間管理するのか、また、ハーフオープンコネクションを
 いつ破棄するのかを決定するのに「タイムアウト値」と「しきい値」を使用します。以下はその項目の一覧。

設定コマンド default Timeout or Threshold 値の詳細内容
 ip inspect tcp synwait-time 30秒  TCPセッションを破棄せずにTCPセッション確立状態に達するまで待つ時間
 ip inspect tcp finwait-time 5秒  FINの交換を検知した後でもなおTCPセッションを管理する時間
 ip inspect tcp idle-time 3600秒  活動がなくなってからTCPセッションを管理する時間
 ip inspect udp idle-time 30秒  活動がなくなってからUDPセッションを管理する時間
 ip inspect dns-timeout 5秒  活動がなくなってからDNS名前検索セッションが管理される時間
 ip inspect max-incomplete high

Unlimited

 To define the number of existing half-open sessions that will cause
 the software to start deleting half-open sessions
 ip inspect max-incomplete low

Unlimited

 To define the number of existing half-open sessions that will cause
 the software to stop deleting half-open sessions
 ip inspect one-minute high

Unlimited

 To define the rate of new unestablished sessions that will cause
 the software to start deleting half-open sessions
 ip inspect one-munite low

Unlimited

 To define the rate of new unestablished TCP sessions that will cause
 the software to stop deleting half-open sessions


 ※ ip inspect max-incomplete と ip inspect one-minute が「Unlimited」になったのは IOS 12.4(11)T/12.4(10) and later。



ACL - 時間ベースACL / ダイナミックACL / 再帰ACL / TCPインターセプト / CBAC / PACL VACL RACL

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.