Cisco Adaptive Security Appliance(ASA)は、FirePOWER または SFR(Sourcefire の略)モジュールと呼ばれるソフトウェアまたはハードウェア モジュールを実行できます。Cisco ASA 用の FirePOWER モジュールは、複数の次世代ファイアウォール サービスを提供します。実際、その機能の一部は ASA 単体で実行できる機能と直接重複しています。詳細は割愛しますが、FirePOWER モジュールをお持ちの場合は、ASA ではなく FirePOWER モジュールの機能を使用することをお勧めします。FirePOWER モジュールは集中管理されており、アップデートの頻度も高い傾向があるためです。
FirePOWERモジュールはトラフィックの良し悪しを判断しますが、その判断を強制するのはASAです。そのため、まずFirePOWERにトラフィックを送信し、判断を委ねる必要があります。次に、FirePOWERモジュールに判断権限を与えるポリシーを設定する必要があります。FirePOWERの設定には、FireSIGHT Management Center(FMC)と呼ばれる管理センターが必要です。この記事では、FirePOWERを管理センターに登録する方法を説明します。今回は、仮想FireSIGHT Management Centerを使用します。
仮想 FireSIGHT 管理センター
仮想FireSIGHT Management Center(FMC)は、シスコからダウンロードし、VMware環境にオープン仮想アプリケーション(OVA)として導入できます。導入後、仮想アプライアンス上でいくつかの設定を行う必要がありますが、Webインターフェイスにログインすれば、システムポリシー、IPSポリシー、ファイルポリシーなどを設定できます。FMCでは、FirePOWERは管理対象デバイスと呼ばれます。管理対象デバイスをFMCに追加し、ライセンスを割り当てる必要があります。そうです、すべてのデバイスにライセンスが割り当てられます。次の図では、ASAがFMCに追加されている様子が確認できます。ASAを追加すると、選択したライセンスが使用されます。
注:ASAのライセンス取得プロセスは、必ずしも明確ではありません。PAKファイルを生成し、シスコに提出する必要があります。このPAKファイルとFMCのライセンス番号を組み合わせることで、永続的なProtect & Controlライセンスが生成されます。その後、IPSとURLフィルタリングのライセンスを追加購入する必要があります。ASA for FirePOWERサービスのライセンス取得方法の詳細については、ユーザーガイドをご覧ください。
FirePOWERモジュールの構成
ここでは、ASAが既に設定済みで、ネットワーク接続の基本が確立されていることを前提とします。これには、ネットワークアドレス変換(NAT)とルーティング、そしてASAの動作に必要なその他の機能が含まれます。さらに、ASAのハードウェアモデルとFirePOWERモジュールの通信動作には若干の違いがあります。ここで重要なのは、ASAの管理インターフェイスがFMCとの通信に使用されることです。これはトラフィックをルーティングしない管理専用のインターフェイスであるため、ゲートウェイを指定し、そのネットワーク上でFMCにアクセスできる必要があります。
FirePOWERモジュールのコマンドラインインターフェースは機能が限られています。Linuxシェルに似ており、実際にはできることはあまりありません。FirePOWERモジュールの設定には、以下のコマンドが必要です。
> configure manager add
たとえば、私のデモ環境は次のように構成されます。
> configure manager add 172.16.20.10 cisco123
Manager successfully configured.
このコマンドは、FMCのアドレスまたはホスト名を定義します。これは、「このマネージャは私と通信することを許可されており、その設定はすべて適用されます」というアクセスルールと考えることができます。以下のコマンドを実行することで、マネージャの設定を確認できます。
> show managers
Host : 172.16.20.10
Registration Key : cisco123
Registration : pending
RPC Status :
この記事で前述したように、SFR を FMC に追加し、ライセンスを割り当てる必要もあります。
FMCにデバイスを追加し、基本ポリシーを適用する
まず、FMC にログインする必要があります。
ログインしたら、「デバイス」>「デバイス管理」に移動する必要があります。
次に、「追加」>「デバイスの追加」をクリックします。
必要な情報を入力し、「デフォルトのアクセス制御ポリシー」を選択します。これにより、ASAがモジュールにトラフィックを送信すると、何らかのフィルタリングが行われるように、モジュールにデフォルトのアクセス制御ポリシーが適用されます。
適用するライセンスを選択します。最初に「保護」を選択すると、利用可能なライセンスがある場合は残りのチェックボックスがアクティブになります。
「登録」をクリックすると、デバイスがFMCに追加され、モジュールに基本ポリシーが適用されます。次の設定は、検査のためにトラフィックをモジュールに転送することです。
モジュールと同じバージョンの FMC がない場合にはエラーが発生するので、バージョンに注意してください。
検査のためにトラフィックを転送する
モジュールにトラフィックを転送するには、ポリシーマップを使用します。次の設定をモジュールではなくASA CLIに適用します。
policy-map FP-Policy
class class-default
sfr fail-open
service-policy FP-Policy interface inside
適用すると、内部インターフェース上のトラフィックが検査のためにモジュールに送信されます。
この時点で、FireSIGHT Management Center がモジュールを通過するトラフィックを監視し、適切なレポートを取得できるようになります。また、ネットワークの保護に関しては、非常に広範囲に及ぶものとなっています。FirePOWER モジュールと FireSIGHT Management Center についてはまだ学ぶべきことがたくさんありますが、これで一般的な保護を提供する基本的な設定が完了しました。今後、ポリシーをカスタマイズする必要が生じる可能性は高くなりますが、それらはすべて FMC で行えます。
以下も参照:
- 2017 年に需要が高まる Cisco 認定資格は何ですか?
- シスコ、新しいクラウドシステムと機械学習ソフトウェアでネットワークセキュリティを強化
- Ciscoスイッチは安全だと思っている?もう一度考え直せ。数百台が単純な攻撃に対して脆弱だ
- ビジネスで知っておくべき Linux Foundation の 3 つのネットワーク プロジェクト
