Ciscoルータ CBACを使用したセキュリティ強化

Network
2021.06.30

CBAC (Context Based Access Control)とは、状況に応じて異なる動作を行うものに基づいてACL制御を行う機能のことです。つまり、通常の手動で設定をしたACLのようにではなく、CBACでは状況に応じて動的にACL制御と、L7のACL制御が行われます。

Cisco IOS Firewallとも呼ばれ、ステートフルインスペクションと同様の動作が実現ができ内側から出力されるトラフィックを監視して、戻りのトラフィックの数値を確認して自動的にACLを作成します。ハーフコネクションを監視したりする事も出来る為、DOSやSYNフラッド攻撃対策にも有効な対策となります。

使用するネットワーク機器は、Cisco 1812Jになります。

CBAC (Context Based Access Control) の設定

コマンドモード:グローバルコンフィグレーションモード。

CBACの検査対象プロトコルの指定して設定

TCP / UDP / ICMP / FTPを検査対象として設定します。

Router(config)# ip inspect name CBAC tcp

TCPパケットの検査を実施します。

Router(config)# ip inspect name CBAC udp

UDPパケットの検査を実施します。

Router(config)# ip inspect name CBAC icmp

ICMPパケットの検査を実施します。

Router(config)# ip inspect name CBAC ftp

FTPパケットの検査を実施します。

Router(config)# ip inspect log drop-pkt

CBACにてパケットを破棄した際にログを取得します。

以上の設定を行う事で、別途ACLで定義(許可)しているパケットは許可され、ACLにて許可をしていないパケットについては、「戻りパケット」のみがアクセスを許可されます。

外部インタフェースのアウトバウンド側にACLを適用

ここでは、外部インタフェースはfastEthernet0とします。

Router(config)# interface fastEthernet 0
Router(config-if)# ip inspect CBAC out
Router(config-if)# end

設定の保存

Router# copy running-config startup-config

確認例

作成したACLが機能しているかの確認は、show access-listコマンドを使用します。

Router# show access-list
 Extended IP access list 100
     10 permit ip 192.168.0.0 0.0.0.255 any (1125417 matches)
 Extended IP access list 150
     10 deny ip 0.0.0.0 0.255.255.255 any
     20 deny ip 10.0.0.0 0.255.255.255 any (154 matches)
     30 deny ip 127.0.0.0 0.255.255.255 any
     40 deny ip 169.254.0.0 0.0.255.255 any
     50 deny ip 172.16.0.0 0.15.255.255 any (52 matches)
     60 deny ip 192.168.0.0 0.0.0.255 any (69 matches)
     70 deny ip 224.0.0.0 15.255.255.255 any
     80 deny ip 240.0.0.0 15.255.255.255 any
     90 deny tcp any any range 137 139
     100 deny tcp any range 137 139 any
     110 deny udp any any range netbios-ns netbios-ss
     120 deny udp any range netbios-ns netbios-ss any
     170 deny tcp any any eq telnet (56 matches)
     175 deny tcp any any eq 22 (55 matches)
     176 deny tcp any any eq www (41 matches)
     180 permit ip any any (4789999 matches)
 Extended IP access list sl_def_acl
     10 deny tcp any any eq telnet log
     20 deny tcp any any eq www log
     30 deny tcp any any eq 22 log
     40 permit tcp any any eq 22 log
Router#

Extended IP access list sl_def_acl以下に、CBACで自動生成したACLが作成されている。

CBAC(Context-Based Access Control)とは
CBAC(Context-Based Access Control)とは。
www.infraexpert.com
CBAC(Context-Based Access Control)- Ciscoコンフィグ設定
CBAC(Context-Based Access Control)- Ciscoコンフィグ設定。
www.infraexpert.com
スポンサーリンク
モバイルバージョンを終了
タイトルとURLをコピーしました