- Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
- シスコ ASA FirePOWER モジュールの概要
- 再利用可能なオブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの開始
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- アクセス コントロール ルール:レルムと ユーザ
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシー クイック スタート ガイド
- SSL ルール クイック スタート ガイド
- SSL ルールを使用したトラフィック復号の 調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの開始
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- シブ展開における前処理の調整
- 侵入ポリシーを使用する前に
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアと禁止されたファイルのブロッ キング
- パッシブ展開における前処理の調整
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ASA FirePOWER ダッシュボードの使用
- ASA FirePOWER レポートの使用
- タスクのスケジュール
- システム ポリシーの管理
- ASA FirePOWER モジュールの設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの 更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、お よび通信ポート
Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: ユーザ アイデンティティ ソース
ユーザ アイデンティティ ソース
ASA FirePOWER モジュールは、次のアイデンティティ ソースをサポートしています。
- 権限のある ユーザ エージェント レポートは、ユーザ認識とユーザ アクセス コントロールに関するユーザ データを収集します。ホストにログインまたはホストからログアウトするとき、または Active Directory クレデンシャルで認証するときにユーザをモニタするようにユーザ エージェントを設定するには、ユーザ エージェントのアイデンティティ ソースを参照してください。
- 権限のある Identity Services Engine(ISE) レポートは、ユーザ認識とユーザ アクセス コントロールに関するユーザ データを収集します。ISE が展開されていて、Active Directory ドメイン コントローラ(DC)を使用した認証時にユーザをモニタするように ISE を設定する場合は、Identity Services Engine(ISE)のアイデンティティ ソースを参照してください。
- 権限のある キャプティブ ポータル認証 はアクティブにネットワークのユーザを認証し、ユーザ認識とユーザ制御に関するユーザ データを収集します。キャプティブ ポータル認証を実行するために仮想ルータまたは FirePOWER Threat Defense デバイスを設定する場合は、キャプティブ ポータルのアイデンティティ ソースを参照してください。
これらのアイデンティティ ソースからのデータは、ASA FirePOWER モジュール ユーザ データベースおよびユーザ アクティビティ データベースに保存されます。データベース サーバ クエリーを設定すると、モジュールに新しいデータを自動的にダウンロードすることができます。
ASA FirePOWER モジュールでのユーザ検出の詳細については、ユーザ検出の基礎を参照してください。
ユーザ アイデンティティ ソースに関する問題のトラブルシューティング
ユーザ アイデンティティ ソースに関する問題のトラブルシューティングについては、次の各項を参照してください。
ユーザ エージェントの接続に関する問題が発生した場合は、『 FirePOWER User Agent Configuration Guide 』を参照してください。
ユーザ エージェントによって報告されるユーザ データに関する問題が発生した場合は、次の点に注意してください。
- システムはデータがまだデータベースにないユーザ エージェント ユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。状況によっては、システムが Active Directory サーバからこの情報を正常に取得するために 60 分かかることもあります。データ取得が成功するまで、ユーザ エージェント ユーザから見えるアクティビティはアクセス コントロール ルールで処理され、Web インターフェイスに表示されません。
ISE 接続に問題が起こった場合は、次のことを確認してください。
- ISE と FirePOWER システムを正常に統合するには、ISE 内の pxGrid アイデンティティ マッピング機能を有効にする必要があります。
- すべての ISE システム証明書と FirePOWER Management Center 証明書には、 serverAuth と clientAuth 拡張キー使用値が含まれている必要があります。
- ISE デバイスの時間は、FirePOWER Management Center の時間と同期されている必要があります。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。
- 展開にプライマリとセカンダリの pxGrid ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。
- 展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。
ISE によって報告されるユーザ データに関する問題が発生した場合は、次の点に注意してください。
- システムはデータがまだデータベースにない ISE ユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。状況によっては、システムが Active Directory サーバからこの情報を正常に取得するために 60 分かかることもあります。データ取得が成功するまで、ISE ユーザから見えるアクティビティはアクセス コントロール ルールで処理され、Web インターフェイスに表示されません。
キャプティブ ポータル認証に関する問題が発生した場合は、次の点に注意してください。
- キャプティブ ポータル ユーザがログイン クレデンシャルを入力すると、システムはクレデンシャルをサーバのデータに対して確認します。状況によっては、ユーザ データがまだデータベースにない場合、Active Directory サーバからこの情報を正常に取得するために 60 分かかることもあります。データ取得が成功するまで、キャプティブ ポータル ユーザは認証されません。
キャプティブ ポータル ユーザが 25 秒後に認証されていない場合、エラー メッセージが表示され、キャプティブ ポータル ユーザのセッションがタイムアウトします。ユーザはキャプティブ ポータルのログインを再試行する必要があります。
ユーザ エージェントのアイデンティティ ソース
ユーザ エージェントはパッシブな認証方法であり、ASA FirePOWER モジュールでサポートされる権限のあるアイデンティティ ソースの 1 つです。ASA FirePOWER モジュールと統合すると、エージェントは、ホストにログインまたはホストからログアウトするとき、または Active Directory クレデンシャルで認証するときにユーザをモニタします。ユーザ エージェントは失敗したログイン試行を報告しません。ユーザ エージェントから取得されたデータは、ユーザ認識とユーザ制御に使用できます。パッシブ認証はアイデンティティ ポリシーで呼び出します。
ユーザ エージェントをインストールして使用することで、ユーザ制御を実行できます。つまり、エージェントがユーザと IP アドレスを関連付け、これによりユーザの条件によるアクセス コントロール ルールをトリガーできるようになります。1 つのエージェントを使用して、最大 5 つの Active Directory サーバでユーザ アクティビティをモニタできます。
ユーザ エージェントは段階的な設定が必要であり、以下が含まれます。
- エージェントがインストールされたコンピュータまたはサーバ。
- ASA FirePOWER モジュールとエージェントがインストールされたコンピュータまたは Active Directory サーバとの間の接続。
- ASA FirePOWER モジュールとアイデンティティ レルム内のディレクトリとして設定されたモニタ対象 LDAP サーバとの間の接続。
エージェントは、以下を実行しているコンピュータまたはサーバにインストールできます。
- Microsoft Windows Vista
- Microsoft Windows 7
- Microsoft Windows 8
- Microsoft Windows Server 2003
- Microsoft Windows Server 2008
- Microsoft Windows Server 2012
コンピュータはまた、モニタする Microsoft Active Directory サーバとデバイスに TCP/IP アクセスできる必要があります。また、サポートされるいずれかのオペレーティング システムを実行する Active Directory サーバにエージェントをインストールすることもできます。リアルタイム データの取得を実行する場合、サーバは Windows Server 2008 または Windows Server 2012 を実行している必要があります。
段階的なユーザ エージェントの設定とサーバの要件の詳細については、『 User Agent Configuration Guide 』を参照してください。
ASA FirePOWER モジュール接続は、ログインとログオフがユーザ エージェントによって検出されたユーザのメタデータを取得可能にするだけでなく、アクセス コントロール ルール内で使用するユーザとグループを指定するためにも使用されます。エージェントが特定のユーザ名を除外するように設定されている場合は、そのようなユーザ名のログイン データは ASA FirePOWER モジュールに報告されません。ユーザ エージェント データは、デバイスのユーザ データベースとユーザ アクティビティ データベースに保存されます。
(注
) ユーザ エージェントは $ 記号で終わる Active Directory ユーザ名を ASA FirePOWER モジュールに送信できません。これらのユーザをモニタする場合は、最後の $ の文字を削除する必要があります。
複数のユーザがリモート セッションを使用してホストにログインしている場合は、エージェントがそのホストからのログインを正確に検出しない場合があります。これを防ぐ方法については、『 User Agent Configuration Guide 』を参照してください。
ユーザ エージェント接続の設定
- ユーザ アクセス コントロールを実装する場合は、レルムの作成の説明に従ってユーザ エージェント接続用の Active Directory レルムを設定して有効にします。
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [統合(Integration)] > [アイデンティティ ソース(Identity Sources)] の順に選択します。
ステップ 2 [サービス タイプ(Service Type)] に [ユーザ エージェント(User Agent)] を選択し、ユーザ エージェント接続を有効にします。
(注) 接続を無効にするには、[なし(None)] を選択します。
ステップ 3 [新規エージェントの追加(Add New Agent)] ボタンをクリックして新しいエージェントを追加します。
ステップ 4 エージェントをインストールするコンピュータの [ホスト名(Hostname)] または [アドレス(Address)] を入力します。IPv4 アドレスを使用する必要があります。IPv6 アドレスを使用してユーザ エージェントに接続するように ASA FirePOWER モジュールを設定することはできません。
ステップ 6 接続を削除するには、削除アイコン(
)をクリックして、その削除を確認します。
Identity Services Engine(ISE)のアイデンティティ ソース
Cisco Identity Services Engine(ISE)内の pxGrid アイデンティティ マッピング機能はパッシブな認証方法であり、ASA FirePOWER モジュールでサポートされる権限のあるアイデンティティ ソースの 1 つです。ASA FirePOWER モジュールと統合すると、この ISE 機能によって、Active Directory ドメイン コントローラ(DC)を使用した認証時にユーザをモニタします。ISE は失敗したログイン試行を報告しません。ISE から取得されたデータは、ASA FirePOWER モジュールでユーザ認識とユーザ制御に使用できます。パッシブ認証はアイデンティティ ポリシーで呼び出します。
多数のユーザ グループをモニタするように ISE を設定する場合、システムはメモリ制限のためにグループに基づいてユーザ マッピングをドロップすることがあります。その結果、レルムまたはユーザ条件を使用するアクセス コントロール ルールが想定どおりに適用されない可能性があります。
(注) ISE デバイスの時間が ASA FirePOWER モジュールの時間と同期されていることを確認します。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。
また、ISE 接続を設定すると、ASA FirePOWER モジュールのデータベースに ISE 属性データとして、[セキュリティ グループ タグ(SGT)(Security Group Tag (SGT))]、[エンドポイント プロファイル(Endpoint Profile)]、および [エンドポイント ロケーション(Endpoint Location)] が入力されます。ISE 属性は、ユーザ認識とアクセス コントロール ルールの条件に使用できます。
セキュリティ グループ タグ(SGT)(Security Group Tag (SGT))
SGT 属性は、パケットが信頼できる TrustSec ネットワークに入るときに Cisco TrustSec によって適用されます。ISE を設定すると、モジュールはユーザとその SGT を識別します。これはアクセス コントロールに使用できます。
エンドポイント ロケーション(Endpoint Location)
[エンドポイント ロケーション(Endpoint Location)] 属性は Cisco ISE によって適用され、エンドポイント デバイスの IP アドレスを特定します。
エンドポイント プロファイル(Endpoint Profile)
[エンドポイント プロファイル(Endpoint Profile)] 属性は Cisco ISE によって適用され、各パケットのエンドポイント デバイス タイプを特定します。
Cisco ISE 製品の詳細については、『 Cisco Identity Services Engine Administrator Guide 』を参照してください。
ISE フィールド
プライマリおよびセカンダリ ホスト名/IP アドレス(Primary and Secondary Host Name/IP Address)
プライマリ(およびオプションでセカンダリ)ISE サーバのホスト名または IP アドレス。
pxGrid サーバ CA(pxGrid Server CA)
pxGrid フレームワークの認証局。展開にプライマリとセカンダリの pxGrid ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。
一括ダウンロード実行時の ISE 証明書の認証局。展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。
MC サーバ証明書(MC Server Certificate)
ISE への接続時、または一括ダウンロードの実行時に ASA FirePOWER モジュールが ISE に提供する必要がある証明書およびキー。
ISE ネットワーク フィルタ(ISE Network Filter)
ISE がモニタするネットワークを制限するために設定できるオプション フィルタ。フィルタを指定する場合、ISE はそのフィルタ内のネットワークをモニタします。次の方法でフィルタを指定できます。
ISE 接続の設定
ステップ 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [統合(Integration)] > [アイデンティティ ソース(Identity Sources)] の順に選択します。
ステップ 2 [サービス タイプ(Service Type)] に [Identity Services Engine] を選択し、ISE 接続を有効にします。
(注) 接続を無効にするには、[なし(None)] を選択します。
ステップ 3 [プライマリ ホスト名/IP アドレス(Primary Host Name/IP Address)] と、オプションで [セカンダリ ホスト名/IP アドレス(Secondary Host Name/IP Address)] を入力します。
ステップ 4 [pxGrid サーバ CA(pxGrid Server CA)]、[MNT サーバ CA(MNT Server CA)]、および [MC サーバ証明書(MC Server Certificate)] ドロップダウンリストから適切な証明書を選択します。オプションで、追加アイコン(
)をクリックしてオブジェクトを即座に作成します。
ステップ 5 オプションで、CIDR ブロック表記を使用して ISE ネットワーク フィルタ を入力します。
ステップ 6 接続をテストする場合は、[テスト(Test)] をクリックします。
キャプティブ ポータルのアイデンティティ ソース
キャプティブ ポータルは、ASA FirePOWER モジュールでサポートされる権限のあるアイデンティティ ソースの 1 つです。ASA FirePOWER モジュールでサポートされる唯一のアクティブな認証方式であり、ユーザはデバイスを通じてネットワークに認証できます。
キャプティブ ポータル経由のアクティブ認証は、HTTP および HTTPS トラフィックのみで実行されます。HTTPS トラフィックでキャプティブ ポータルを実行する場合は、キャプティブ ポータルを使用して認証するユーザから送信されたトラフィックを復号する SSL ルールを作成する必要があります。
設定して展開すると、指定レルムのユーザはバージョン 9.5(2) 以降を実行しているルーテッド モードの ASA FirePOWER デバイス経由で認証されます。キャプティブ ポータルから取得された認証データはユーザ認識とユーザ制御に使用できます。
キャプティブ ポータルはまた、失敗した認証の試行を記録します。失敗した試行で新しいユーザがデータベース内のユーザのリストに追加されることはありません。キャプティブ ポータルで報告される失敗した認証アクティビティのユーザ アクティビティ タイプは [認証失敗ユーザ(Failed Auth User)] です。
captive-portal ASA CLI コマンドを使用して、使用バージョンの『 ASA Firewall Configuration Guide 』の説明に従ってキャプティブ ポータルのアクティブ認証を有効にします( http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-and-configuration-guides-list.html [英語])。アイデンティティ ポリシーのキャプティブ ポータルの設定を続け、アイデンティティ ルールのアクティブ認証を呼び出します。アイデンティティ ポリシーはアクセス コントロール ポリシーで呼び出されます。詳細については、キャプティブ ポータル(アクティブ認証)の設定を参照してください。
キャプティブ ポータルは、設定された 1 つ以上のルーテッド インターフェイスを使用してデバイスによってのみ実行できます。
アクセス コントロール ルールおよび SSL ルールの次の要件に注意してください。
- キャプティブ ポータルに使用する IP アドレスおよびポート宛てのトラフィックを許可するようにアクセス コントロール ルールを設定する必要があります。宛先ポートがアクセス コントロール ポリシーで許可されない場合、トラフィックはキャプティブ ポータルを使用して認証できません。
- HTTPS トラフィックでキャプティブ ポータルを使用してアクティブ認証を実行する場合は、キャプティブ ポータルを使用して認証するユーザから送信されたトラフィックを復号する SSL ルールを作成する必要があります。
- キャプティブ ポータル接続でトラフィックを復号する場合、キャプティブ ポータルに使用するポート宛てのトラフィックを復号する SSL ルールを作成する必要があります。
ASA FirePOWER モジュール サーバのダウンロード
ASA FirePOWER モジュールと LDAP または AD サーバ間の接続により、次の特定の検出されたユーザのユーザおよびユーザ グループのメタデータを取得することができます。
- キャプティブ ポータルで認証された、あるいはユーザ エージェントまたは ISE で報告された LDAP および AD ユーザ。このメタデータは、ユーザ認識とユーザ制御に使用できます。
- トラフィック ベースの検出で検出された POP3 と IMAP ユーザ ログイン(ユーザが LDAP または AD ユーザと同じ電子メール アドレスを持つ場合)。このメタデータは、ユーザ認識に使用できます。
ASA FirePOWER モジュール ユーザ データベース サーバ接続はレルム内のディレクトリとして設定します。ユーザ認識とユーザ制御のためにレルムのユーザおよびユーザ グループ データをダウンロードするには、[アクセス コントロールのためのユーザおよびユーザ グループのダウンロード(Download users and user groups for access control)] チェックボックスをオンにする必要があります。
フィードバック