Firepower プラットフォーム設定の概要
Firepower クラシック管理対象デバイス向けのプラットフォーム設定は無関係な機能の範囲を指定しますが、その値は複数のデバイス間で共有できます。この場合は、7000 および 8000 シリーズ、ASA FirePOWER モジュールや NGIPSv デバイスです。デバイスごとに異なる設定を使用する場合でも、共有ポリシーを作成して目的のデバイスに適用する必要があります。
Firepower Management Center バージョン 6.1 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年6月4日
章のタイトル: 従来型デバイス用の Firepower プラットフォーム設定
従来型デバイス用の Firepower プラットフォーム設定
次のトピックでは、Firepower プラットフォーム設定について、および従来型デバイスでそれを設定する方法について説明します。
Firepower プラットフォームの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
従来型(Classic) |
任意(Any) |
Admin |
プラットフォームを設定するには、既存のプラットフォーム設定ポリシーを編集するか、新しいポリシーを作成します。デバイスに現在展開されているプラットフォーム設定ポリシーを編集する場合、変更を保存した後にポリシーを再展開してください。
手順
| ステップ 1 |
を選択します。 既存のシステム ポリシーのリストを含む、[プラットフォーム設定(Platform Settings)] ページが表示されます。 |
| ステップ 2 |
新しいポリシーを作成するか、既存のポリシーを編集します。
[ポリシーの編集(Edit Policy)] ページが表示されます。ポリシー名とポリシーの説明を変更できます。プラットフォーム設定ポリシーのそれぞれの側面の設定については、次の項のいずれかを参照してください。 |
| ステップ 3 |
(オプション)[ポリシー割り当て(Policy Assignment)] をクリックして、ポリシーを展開する利用可能なデバイスを選択します。[ポリシーに追加(Add to Policy)] をクリックして(またはドラッグ アンド ドロップして)、選択したデバイスを追加します。 [検索(Search)] フィールドに検索文字列を入力して、デバイスのリストを絞り込むことができます。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
)をクリックします。
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。
アクセス リスト
Firepower Management Center およびクラシック管理対象デバイスでは、アクセス リストを使用して、IP アドレスとポートを基準にシステムへのアクセスを制限できます。デフォルトでは、任意の IP アドレスに対して以下のポートが有効化されています。
-
443(HTTPS):Web インターフェイス アクセスに使用されます。
-
22(SSH):コマンド ライン アクセスに使用されます。
さらに、ポート 161 で SNMP 情報をポーリングするためのアクセスも追加できます。
 注意 |
デフォルトでは、アクセスは制限されていません。よりセキュアな環境で運用するために、特定の IP アドレスに対するアクセスを追加してから、デフォルトの any オプションを削除することを検討してください。 |
システムのアクセス リストの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
Management Center 従来型(Classic) |
任意(Any) |
Admin |
この構成は、Firepower Management Center または従来の管理対象デバイス(7000 および 8000 シリーズ、ASA FirePOWER、および NGIPSv)に適用されます。
-
Firepower Management Center では、この構成はシステム構成の一部です。
-
従来の管理対象デバイスでは、この構成をプラットフォーム設定ポリシーの一部として Firepower Management Center から適用します。
いずれの場合も、構成は、システム構成変更を保存するか、共有プラットフォーム設定ポリシーを展開するまで有効になりません。
このアクセス リストは、外部データベース アクセスを制御しないので注意してください。
手順
| ステップ 1 |
Firepower Management Center を構成するか従来の管理対象デバイスを構成するかに応じて、次の操作を実行します。
|
||
| ステップ 2 |
[アクセス リスト(Access List)] をクリックします。 |
||
| ステップ 3 |
現在の設定の 1 つを削除するために、削除アイコン(
|
||
| ステップ 4 |
1 つ以上の IP アドレスへのアクセスを追加するには、[ルールの追加(Add Rules)] をクリックします。 |
||
| ステップ 5 |
[IP アドレス(IP Address)] フィールドに、IP アドレスまたはアドレスの範囲を入力するか、 |
||
| ステップ 6 |
[SSH]、[HTTPS]、[SNMP]、またはこれらのオプションの組み合わせを選択して、これらの IP アドレスで有効にするポートを指定します。 |
||
| ステップ 7 |
[追加(Add)] をクリックします。 |
||
| ステップ 8 |
[保存(Save)] をクリックします。 |
)をクリックすることもできます。
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。
監査ログ
Firepower Management Center および従来型管理対象デバイスは、ユーザ アクティビティに関する読み取り専用の監査情報をログに記録します。Management Center および 7000 および 8000 シリーズ の Web インターフェイスでは、監査ログ イベントは標準イベント ビューに表示されます。標準イベント ビューでは、監査ビューの任意の項目に基づいて監査ログ メッセージの表示、並べ替え、フィルタ処理ができます。監査情報を簡単に削除したり、それに関するレポートを作成したりすることができ、ユーザが行った変更に関する詳細なレポートを表示することもできます。
監査ログ メッセージを syslog に送信するよう、Firepower Management Center および従来型管理対象デバイスを設定することもできます。設定するには、syslog サーバ、およびメッセージに関連付ける重大度、ファシリティ、オプション タグを指定します。タグは、syslog の監査ログ メッセージと一緒に表示されます。ファシリティはメッセージを作成するサブシステムを示し、重大度はメッセージの重大度を定義します。syslog メッセージにはファシリティおよび重大度は含まれません。これらの値は syslog メッセージを受信するシステムにメッセージの分類方法を示す値です。
また、監査ログ メッセージを HTTP サーバにストリーミングするよう、Firepower Management Center および従来型管理対象デバイスで設定することもできます。
-
Firepower Management Center では、監査ログのストリーミングはシステム設定の一部です。
-
クラシック管理対象デバイスでは、監査ログ ストリーミングは Firepower Management Center プラットフォーム設定ポリシーの一部です。
いずれの場合も、システム設定の変更を保存するか、共有プラットフォーム設定ポリシーを展開するまでは設定は有効になりません。
TLS 証明書を使用して TLS と相互認証を有効にすることで、監査ログ ストリーミング用のチャネルの安全性を確保できます。詳細についてはカスタム監査ログ クライアント証明書を参照してください。
注意 |
外部 URL に監査情報を送信すると、システム パフォーマンスに影響を与える場合があります。 |
監査ログ メッセージを Syslog に送信する
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
任意(Any) |
Management Center 従来型(Classic) |
任意(Any) |
Admin |
この機能を有効にすると、監査ログ レコードは、syslog に次の形式で表示されます。
Date Time Host [Tag] Sender: User_Name@User_IP, Subsystem, Action
現地の日付、時刻、および発信元ホスト名の後に、角括弧で囲まれたオプション タグが続き、送信側デバイス名の後に監査ログ メッセージが続きます。
たとえば、FROMMC のタグを指定した場合は、監査ログメッセージ例は次のように表示されます。
Mar 01 14:45:24 localhost [FROMMC] Dev-MC7000: admin@10.1.1.2, Operations > Monitoring, Page View
TLS 証明書を使用して TLS および相互認証を有効にすることによって、監査ログ ストリーミングのチャネルを保護できます。詳細については、カスタム監査ログ クライアント証明書を参照してください。
始める前に
-
syslog サーバが機能しており、監査ログを送信するシステムからアクセスできることを確認します。
手順
| ステップ 1 |
Firepower Management Center または Classic 管理対象デバイスのいずれを設定しているかに応じて、以下を実行します。
|
||||
| ステップ 2 |
[監査ログ(Audit Log)] をクリックします。 |
||||
| ステップ 3 |
[監査ログを Syslog に送信(Send Audit Log to Syslog)] ドロップダウン メニューから、[有効(Enabled)] を選択します。 |
||||
| ステップ 4 |
[ホスト(Host)] フィールドにある syslog サーバの IP アドレスまたは完全修飾名を使用して、監査情報の宛先ホストを指定します。デフォルト ポート(6514)が使用されます。
|
||||
| ステップ 5 |
Syslog アラート ファシリティで説明されているとおりに、[ファシリティ(Facility)] リストからファシリティを選択します。 |
||||
| ステップ 6 |
syslog 重大度レベルで説明されているとおりに、[重大度(Severity)] リストから重大度を選択します。 |
||||
| ステップ 7 |
オプションで、[タグ(Tag)] フィールドに、syslog メッセージとともに表示するタグ名を入力します。たとえば、syslog に送信されるすべての監査ログ レコードの先頭に「 |
||||
| ステップ 8 |
[保存(Save)] をクリックします。 |
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。
監査ログ メッセージを HTTP サーバに送信する
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
任意(Any) |
Management Center 従来型(Classic) |
任意(Any) |
Admin |
この機能を有効にすると、アプライアンスは、HTTP サーバに次の形式で監査ログ レコードを送信します。
Date Time Host [Tag] Sender: User_Name@User_IP, Subsystem, Action
現地の日付、時刻、および発信元ホスト名の後に、角括弧で囲まれたオプション タグが続き、送信側デバイス名の後に監査ログ メッセージが続きます。
たとえば、FROMMC のタグを指定した場合は、監査ログメッセージ例は次のように表示されます。
Mar 01 14:45:24 localhost [FROMMC] Dev-MC7000: admin@10.1.1.2, Operations > Monitoring, Page View
このストリームのチャネルは、SSL 証明書を使用して TLS と相互認証を有効にすることで保護できます。詳細については、カスタム監査ログ クライアント証明書を参照してください。
始める前に
-
外部ホストが機能していることと、監査ログを送信するシステムからアクセスできることを確認します。
手順
| ステップ 1 |
Firepower Management Center または従来型の管理対象デバイスのどちらを設定しているかに応じて、次の操作を実行します。
|
||
| ステップ 2 |
[監査ログ(Audit Log)] をクリックします。 |
||
| ステップ 3 |
必要に応じて、[タグ(Tag)] フィールドに、メッセージとともに表示するタグ名を入力します。たとえば、すべての監査ログ レコードの前に |
||
| ステップ 4 |
[HTTP サーバへの監査ログの送信(Send Audit Log to HTTP Server)] ドロップダウン リストから、[有効(Enabled)] を選択します。 |
||
| ステップ 5 |
[監査情報を送信する URL(URL to Post Audit)] フィールドに、監査情報の送信先 URL を指定します。次にリストした HTTP POST 変数を要求するリスナー プログラムに対応する URL を入力します。
|
||
| ステップ 6 |
[保存(Save)] をクリックします。 |
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。
カスタム監査ログ クライアント証明書
HTTP サーバまたは syslog サーバに監査ログをストリーミングする場合、Transport Layer Security(TLS)証明書を使ってアプライアンスとサーバ間のチャネルを保護することができます。これにより、信頼されたサーバにシステム監査ログを安全にストリーミングすると同時に、ローカル アプライアンスの使用領域を節約することができます。
監査ログをアプライアンスから外部サーバに安全にストリーミングするには、2 つの要件があります。
-
アプライアンスの署名付きクライアント証明書をインポートします。システム情報と指定した ID 情報に基づいて、証明書要求を生成できます。生成された要求を認証局に送信して、クライアント証明書を要求します。認証局(CA)から署名付き証明書を取得すると、その証明書をインポートできます。
-
Transport Layer Security(TLS)を使用するサーバとの通信チャネルを設定します。
サーバに署名付き証明書の提供を要求します。その証明書を確認するため、1 つ以上の証明書失効リスト(CRL)をロードするようにアプライアンスを設定します。アプライアンスは、サーバ証明書を CRL に記載されている証明書に照らして比較します。サーバが提供した証明書が失効した証明書として CRL に記載されている場合、そのサーバには監査ログをストリーミングできません。
 (注) |
CRL を使用した証明書の確認を選択すると、システムはクライアント ブラウザ証明書、監査ログ サーバ証明書の両方の検証に同じ CRL を使用します。 |
次の要件のいずれか 1 つを満たしていないクライアント証明書をインポートすると、監査ログのストリーミングは失敗となります。
-
証明書の署名が、サーバ証明書の署名と同じ CA による署名でない。
-
証明書が、証明書チェーンの中間証明書に署名したものと同じ CA によって署名されていない。
現在の監査ログ クライアント証明書の表示
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
任意(Any) |
Management Center7000 & 8000 シリーズ NGIPSv |
グローバルのみ |
Admin |
ログインしているアプライアンスの監査ログ クライアント証明書のみ表示できます。
(注) |
ASA FirePOWER デバイスの監査ログ クライアント証明書を表示するには、show audit_cert CLI コマンドを使用します。 |
手順
| ステップ 1 |
Firepower Management Center または従来型の管理対象デバイスのどちらに向けた監査ログのストリーミングを構成しているかに応じて、次のように操作します。
|
| ステップ 2 |
[監査ログ証明書(Audit Log Certificate)] をクリックします。 |
監査ログ クライアント証明書の署名要求の生成
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
任意(Any) |
Management Center7000 & 8000 シリーズ NGIPSv |
グローバルのみ |
Admin |
この手順を使用して証明書要求を生成すると、単一のシステムにのみ対応する証明書を生成できます。セキュリティを確保するために、広く知られており、信頼できる CA によって署名された証明書を使用してください。
システムは、ベース 64 エンコードの PEM 形式で証明書要求のキーを生成します。
(注) |
ASA FirePOWER デバイスの場合は、キー ペアと証明書を手動で生成します。 |
手順
| ステップ 1 |
Firepower Management Center または従来型の管理対象デバイスのどちらに向けた監査ログのストリーミングを構成しているかに応じて、次のように操作します。
|
||
| ステップ 2 |
[監査ログ証明書(Audit Log Certificate)] をクリックします。 |
||
| ステップ 3 |
[新規 CSR の生成(Generate New CSR)] をクリックします。 |
||
| ステップ 4 |
[国名(2 文字のコード)(Country Name (two-letter code))] フィールドに国番号を入力します。 |
||
| ステップ 5 |
[都道府県(State or Province)] フィールドに、都道府県名を入力します。 |
||
| ステップ 6 |
[市区町村(Locality or City)] を入力します。 |
||
| ステップ 7 |
[組織(Organization)] の名前を入力します。 |
||
| ステップ 8 |
[組織単位(部署名)(Organizational Unit (Department))] の名前を入力します。 |
||
| ステップ 9 |
[共通名(Common Name)] フィールドに、証明書を要求するサーバの完全修飾ドメイン名を入力します。
|
||
| ステップ 10 |
[生成(Generate)] をクリックします。 |
||
| ステップ 11 |
テキスト エディタで、新しい空のファイルを開きます。 |
||
| ステップ 12 |
証明書要求のテキスト ブロック全体( |
||
| ステップ 13 |
このファイルを |
||
| ステップ 14 |
[閉じる(Close)] をクリックします。 |
次のタスク
-
証明機関に証明書要求を送信します。
-
署名された証明書を受信したら、その証明書を要求したアプライアンスにインポートします。監査ログ クライアント証明書のインポートを参照してください。
監査ログ クライアント証明書のインポート
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
任意(Any) |
Management Center7000 & 8000 シリーズ NGIPSv |
グローバルのみ |
Admin |
証明書を生成した署名認証局から中間 CA を信頼するように要求された場合は、証明書チェーン(証明書パスとも呼ばれる)を提供します。
監査ログのストリーミングは、次に示す条件のいずれかを満たしていないクライアント証明書をインポートすると失敗します。
-
証明書が、サーバ証明書に署名したものと同じ CA によって署名されていない。
-
証明書が、証明書チェーンの中間証明書に署名したものと同じ CA によって署名されていない。
(注) |
ASA FirePOWER に監査ログ クライアント証明書をインポートするには、CLI コマンド configure audit_cert import を使用します。 |
始める前に
-
証明書署名要求を生成します。監査ログ クライアントの証明書署名要求の生成を参照してください。
-
証明書を要求する認証局に CSR ファイルをアップロードします。
手順
| ステップ 1 |
Firepower Management Center または従来型の管理対象デバイスのどちらに向けた監査ログのストリーミングを構成しているかに応じて、次のように操作します。
|
| ステップ 2 |
[監査ログ証明書(Audit Log Certificate)] をクリックします。 |
| ステップ 3 |
[監査クライアント証明書のインポート(Import Audit Client Certificate)] をクリックします。 |
| ステップ 4 |
テキスト エディタでクライアント証明書を開いて、 |
| ステップ 5 |
秘密キーをアップロードするには、秘密キー ファイルを開いて、 |
| ステップ 6 |
必要な中間証明書をすべて開いて、それぞれのテキストのブロック全体をコピーして、[証明書チェーン(Certificate Chain)] フィールドに貼り付けます。 |
| ステップ 7 |
[保存(Save)] をクリックします。 |
有効な監査ログ サーバ証明書の要求
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
任意(Any) |
Management Center 従来型 |
グローバルのみ |
Admin |
システムは、識別符号化規則(DER)形式でインポートされている CRL を使用した、監査ログ サーバ証明書の検証をサポートしています。
CRL を使用する場合は、失効した証明書のリストを最新の状態に保つために、CRL を更新するスケジュール タスクを作成してください。システムは、最後に更新した CRL を表示します。
(注) |
CRL を選択すると、システムは、同じ CRL を使用して、監査ログ証明書の検証と、アプライアンスと Web ブラウザの間の HTTP 接続を保護する証明書の検証の両方に同じ CRL を使用します。 |
注意 |
有効なクライアント証明書をインポートせずに、相互認証を有効にすると、監査ログのストリーミングが失敗します。 |
始める前に
-
接続に使用するサーバ証明書に署名したものと同じ CA で署名されたクライアント証明書をインポートします。監査ログ クライアント証明書のインポートを参照してください。
-
クライアント証明書チェーンをインポートします(必要な場合)。監査ログ クライアント証明書のインポートを参照してください。
手順
| ステップ 1 |
Firepower Management Center または従来型の管理対象デバイスのどちらに向けた監査ログのストリーミングを構成しているかに応じて、次のように操作します。
|
||
| ステップ 2 |
[監査ログ証明書(Audit Log Certificate)] をクリックします。 |
||
| ステップ 3 |
[TLS の有効化(Enable TLS)] を選択して、監査ログを外部サーバにストリーミングする際に Transport Layer Security を使用します。 |
||
| ステップ 4 |
[相互認証の有効化(Enable Mutual Authentication)] を選択します。 |
||
| ステップ 5 |
次の 2 つの対処法があります。
|
||
| ステップ 6 |
既存の CRL ファイルへの有効な URL を入力して、[CRL の追加(Add CRL)] をクリックします。最大 25 個まで CRL の追加を繰り返します。 |
||
| ステップ 7 |
[CRL の更新(Refresh CRL)] をクリックして現在の CRL をロードするか、指定した URL から CRL をロードします。
|
||
| ステップ 8 |
クライアント証明書を作成したものと同じ認証局によって生成された有効なクライアント証明書があることを確認します。 |
||
| ステップ 9 |
[保存(Save)] をクリックします。 |
外部認証の設定
外部認証サーバを参照する認証オブジェクトを作成する場合、外部認証を有効にすることにより、ローカル データベースを使用せずに、管理対象デバイスにログインしているユーザをそのサーバに認証させることができます。
外部認証を有効にすると、システムでは LDAP または RADIUS サーバのユーザのユーザ クレデンシャルが確認されます。さらに、ユーザがローカルの内部認証を有効にしており、ユーザ クレデンシャルが内部データベースにない場合、システムは一致するクレデンシャルのセットがないか外部サーバを検査します。ユーザが複数のシステムで同じユーザ名を持っている場合、すべてのサーバですべてのパスワードが動作します。ただし、使用可能な外部認証サーバで認証が失敗した場合、システムはローカル データベースの検査に戻らないので注意してください。
外部認証を有効にすると、アカウントが外部で認証されている任意のユーザのデフォルトのユーザ ロールを設定できます。これらのロールを組み合わせることができる場合は、複数のロールを選択できます。たとえば、自社の [ネットワーク セキュリティ(Network Security)] グループのユーザのみを取得する外部認証を有効にした場合、デフォルトのユーザ ロールを設定して [セキュリティ アナリスト(Security Analyst)] ロールを組み込み、ユーザが自分で追加のユーザ設定を行わなくても収集されたイベント データにアクセスできるようにすることが可能です。ただし、外部認証がセキュリティ グループに加えて他のユーザのレコードを取得する場合、デフォルトのロールを未選択のままにしておきたい場合もあります。
アクセス ロールが選択されていない場合、ユーザはログインできますが、どの機能にもアクセスできません。ユーザがログインを試行すると、アカウントがユーザ管理ページ()に表示されます。ここで、追加の権限を付与するアカウント設定を編集できます。
 ヒント |
1 つのユーザ ロールを使用するようにシステムを設定してそのポリシーを適用し、後で設定を変更して別のデフォルトのユーザ ロールを使用する場合、アカウントを変更するか、削除して再作成するまで、変更前に作成されたユーザ アカウントはすべて、最初のユーザ ロールを保持します。 |
シェル アクセスまたは CAC 認証および承認のために LDAP サーバに対して認証できる一連のユーザを指定する場合は、それぞれに個別の認証オブジェクトを作成し、オブジェクトを個別に有効にする必要があります。
内部認証によってユーザがログインしようとすると、システムは最初にそのユーザがローカル ユーザ データベースに存在するかどうか検査します。ユーザが存在する場合、システムは次にユーザ名とパスワードをローカル データベースに対して検査します。一致が検出されると、ユーザは正常にログインします。ただし、ログインが失敗し、外部認証が有効になっている場合、システムはそれぞれの外部認証サーバに対して、ユーザを設定に表示される認証順序で検査します。ユーザ名およびパスワードが外部サーバからの結果と一致した場合、システムはユーザを、その認証オブジェクトに対してデフォルトの権限を持つ外部ユーザに変更します。
外部ユーザがログインしようとすると、システムは外部認証サーバに対してユーザ名およびパスワードを検査します。一致が検出されると、ユーザは正常にログインします。ログインが失敗した場合、ユーザのログイン試行は拒否されます。外部ユーザは、ローカル データベース内のユーザ リストに対して認証できません。ユーザが新しい外部ユーザの場合、外部認証オブジェクトのデフォルト権限を持つ外部ユーザ アカウントがローカル データベースに作成されます。
外部認証の有効化
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
Management Center、従来型 |
任意(Any) |
Admin |
始める前に
-
外部認証(External Authentication)の説明に従って外部認証オブジェクトを設定します。
手順
| ステップ 1 |
を選択し、Firepower ポリシーを作成または編集します。 |
| ステップ 2 |
[外部認証(External Authentication)] をクリックします。 |
| ステップ 3 |
[ステータス(Status)] ドロップダウン リストから [有効(Enabled)] を選択します。 |
| ステップ 4 |
[デフォルト ユーザ ロール(Default User Role)] ドロップダウン リストから、ユーザ ロールを選択して、外部認証済みユーザに付与するデフォルト権限を定義します。 |
| ステップ 5 |
外部サーバを使用して CLI またはシェル アクセス アカウントを認証する場合、[シェル認証(Shell Authentication)] ドロップダウン リストから [有効(Enabled)] を選択します。 |
| ステップ 6 |
CAC 認証および認可を有効にする場合は、[CAC 認証(CAC Authentication)] ドロップダウン リストから使用可能な CAC 認証オブジェクトを選択します。CAC 認証および認可の設定の詳細については、CAC 認証を参照してください。 |
| ステップ 7 |
事前設定された認証オブジェクトの使用を有効にするには、オブジェクトの横にあるチェックボックスをオンにします。外部認証を有効にするには、少なくとも 1 つの認証オブジェクトを指定する必要があります。 シェル認証を有効にした場合、CLI またはシェル アクセスを許可するよう設定された認証オブジェクトを選択する必要があります。 同じシステム設定で CLI またはシェル アクセスと、CAC 認証を制御するためには異なる認証オブジェクトを使用します。CAC 認証およびLDAP シェル アクセスのフィールドを参照してください。 |
| ステップ 8 |
必要に応じて、上矢印および下矢印を使用して、認証要求が行われたときに認証サーバがアクセスされる順序を変更できます。 CLI またはシェル アクセスのユーザは、認証オブジェクトがプロファイルの順序で最も高いサーバに対してのみ認証できることに注意してください。 |
| ステップ 9 |
[保存(Save)] をクリックします。 |
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。
言語の選択
[言語(Language)] ページを使用して、Web インターフェイス用に異なる言語を指定できます。
別の言語の指定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
Management Center 7000 & 8000 シリーズ |
任意(Any) |
Admin |
この設定は、Firepower Management Center または 7000 および 8000 シリーズ 管理対象デバイスに適用されます。
-
Firepower Management Center では、この設定はシステム設定の一部になります。
-
7000 および 8000 シリーズ 管理対象デバイスでは、この設定をプラットフォーム設定ポリシーの一部として Firepower Management Center から適用します。
いずれの場合も、システム設定変更を保存するか、共有プラットフォーム設定ポリシーを展開するまで、設定は有効にはなりません。
注意 |
ここで指定した言語は、アプライアンスにログインしたすべてのユーザの Web インターフェイスに使用されます。 |
手順
| ステップ 1 |
Firepower Management Center を構成するか従来の管理対象デバイスを構成するかに応じて、次の操作を実行します。
|
| ステップ 2 |
[言語(Language)] をクリックします。 |
| ステップ 3 |
使用する言語を選択します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。
ログイン バナー
[ログイン バナー(Login Banner)] ページを使用して、セキュリティ アプライアンスまたは共有ポリシーのセッション バナー、ログイン バナー、カスタム メッセージ バナーを指定できます。
バナーのテキストにはスペースを使用できますが、タブは使用できません。バナーには複数行のテキストを指定できます。テキストに空の行が含まれている場合、バナーでは、その行が改行(CR)として表示されます。使用できるのは、改行(Enter キーを押す)を含む ASCII 文字だけです。改行は 2 文字としてカウントされます。
Telnet または SSH を介してセキュリティ アプライアンスにアクセスしたときに、バナー メッセージを処理するのに十分なシステム メモリがなかった場合や、バナー メッセージの表示を試行して TCP 書き込みエラーが発生した場合には、セッションが閉じます。
カスタム ログイン バナーの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
Management Center 従来型(Classic) |
任意(Any) |
Admin |
SSH または Web インターフェイスからログインするユーザに向けて表示するカスタム ログイン バナーを作成できます。
この設定は、Firepower Management Center または従来型の管理対象デバイス(7000 および 8000 シリーズ、ASA FirePOWER および NGIPSv)に適用されます。
-
Firepower Management Center では、この構成はシステム構成の一部です。
-
従来の管理対象デバイスでは、この構成をプラットフォーム設定ポリシーの一部として Firepower Management Center から適用します。
いずれの場合も、システム設定変更を保存するか、共有プラットフォーム設定ポリシーを展開するまで、設定は有効にはなりません。
手順
| ステップ 1 |
Firepower Management Center または Classic 管理対象デバイスのいずれを設定しているかに応じて、以下を実行します。
|
| ステップ 2 |
[ログイン バナー(Login Banner)] を選択します。 |
| ステップ 3 |
[カスタム ログイン バナー(Custom Login Banner)] フィールドに、使用するログイン バナー テキストを入力します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。
セッション タイムアウト
Firepower システムの Web インターフェイスまたは補助コマンドライン インターフェイスの無人ログイン セッションは、セキュリティ上のリスクを生じさせる場合があります。ユーザのログイン セッションが非アクティブなったためにタイムアウトするまでのアイドル時間を分単位で設定できます。シェル(コマンドライン)セッションでも同様のタイムアウトを設定できます。
長期にわたり Web インターフェイスをパッシブかつセキュアにモニタする予定のユーザが、導入内に存在する可能性があります。ユーザ設定オプションで Web インターフェイスのセッション タイムアウトからユーザを除外することができます。メニュー オプションへの完全なアクセス権がある管理者ロールのユーザは、侵害が生じる場合、余分のリスクを生じさせますが、セッション タイムアウトから除外することはできません。
セッション タイムアウトの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
Management Center 従来型(Classic) |
任意(Any) |
Admin |
この構成は、Firepower Management Center または従来の管理対象デバイス(7000 および 8000 シリーズ、ASA FirePOWER、および NGIPSv)に適用されます。
-
Firepower Management Center では、この構成はシステム構成の一部です。
-
従来の管理対象デバイスでは、この構成をプラットフォーム設定ポリシーの一部として Firepower Management Center から適用します。
いずれの場合も、構成は、システム構成変更を保存するか、共有プラットフォーム設定ポリシーを展開するまで有効になりません。
システムへのシェル アクセスを制限する必要がある場合、追加オプションによって補助コマンドライン インターフェイスの expert コマンドを永続的に無効にすることができます。アプライアンスでエキスパート モードを無効にすると、構成シェル アクセスを持つユーザでも、シェルのエキスパート モードに入ることができなくなります。ユーザが補助コマンドライン インターフェイスのエキスパート
モードに入ると、ユーザはシェルに応じた任意の Linux コマンドを実行できます。エキスパート モードに入っていない場合は、コマンドライン ユーザはコマンドライン インターフェイスが提供するコマンドだけを実行できます。
手順
| ステップ 1 |
Firepower Management Center を構成するか従来の管理対象デバイスを構成するかに応じて、次の操作を実行します。
|
||
| ステップ 2 |
[シェル タイムアウト(Shell Timeout)] をクリックします。 |
||
| ステップ 3 |
次の選択肢があります。
|
||
| ステップ 4 |
[保存(Save)] をクリックします。 |
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。
SNMP ポーリング
Firepower Management Center およびクラシック管理対象デバイスには、Simple Network Management Protocol(SNMP)ポーリングを有効にすることができます。SNMP 機能は、SNMP プロトコルのバージョン 1、2、3 をサポートします。
この機能を使用して、次の要素にアクセスできます。
-
標準 Management Information Base(MIB)。これには、連絡先、管理、場所、サービス情報、IP アドレッシングやルーティングの情報、トランスミッション プロトコルの使用状況の統計などのシステムの詳細が含まれます。
-
7000 および 8000 シリーズ 管理対象デバイスの追加の MIB。これには、物理インターフェイス、論理インターフェイス、仮想インターフェイス、ARP、NDP、仮想ブリッジ、仮想ルータを通して渡されるトラフィックの統計が含まれます。
(注) |
SNMP プロトコルの SNMP バージョンを選択する際は、SNMPv2 では読み取り専用コミュニティのみをサポートし、SNMPv3 では読み取り専用ユーザのみをサポートすることに注意してください。SNMPv3 は AES128 による暗号化もサポートします。 |
SNMP 機能を有効にすると、システムで SNMP トラップを送信できなくなり、MIB の情報はネットワーク管理システムによるポーリングでのみ使用可能になることに注意してください。
SNMP ポーリングの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
Management Center 従来型(Classic) |
任意(Any) |
Admin |
この構成は、Firepower Management Center または従来の管理対象デバイス(7000 および 8000 シリーズ、ASA FirePOWER、および NGIPSv)に適用されます。
-
Firepower Management Center では、この構成はシステム構成の一部です。
-
従来の管理対象デバイスでは、この構成をプラットフォーム設定ポリシーの一部として Firepower Management Center から適用します。
いずれの場合も、構成は、システム構成変更を保存するか、共有プラットフォーム設定ポリシーを展開するまで有効になりません。
(注) |
システムをポーリングするには、使用する任意のコンピュータで SNMP アクセスを追加する必要があります。SNMP MIB には展開の攻撃に使用される可能性がある情報も含まれているので注意してください。SNMP アクセスのアクセス リストを MIB のポーリングに使用される特定のホストに制限することをお勧めします。SNMPv3 を使用し、ネットワーク管理アクセスには強力なパスワードを使用することもお勧めします。 SNMPv3 は、読み取り専用ユーザと AES128 による暗号化のみをサポートしています。 |
始める前に
-
システムのアクセス リストの設定の説明に従って、使用するコンピュータごとに SNMP アクセスを追加し、システムをポーリングします。
手順
| ステップ 1 |
Firepower Management Center を構成するか従来の管理対象デバイスを構成するかに応じて、次の操作を実行します。
|
||||
| ステップ 2 |
[SNMP] をクリックします。 |
||||
| ステップ 3 |
[SNMP バージョン(SNMP Version)] ドロップダウン リストから、使用する SNMP バージョンを選択します。 |
||||
| ステップ 4 |
次の選択肢があります。
|
||||
| ステップ 5 |
ユーザ名を入力します。 |
||||
| ステップ 6 |
[認証プロトコル(Authentication Protocol)] ドロップダウン リストから、認証に使用するプロトコルを選択します。 |
||||
| ステップ 7 |
[認証パスワード(Authentication Password)] フィールドに SNMP サーバの認証に必要なパスワードを入力します。 |
||||
| ステップ 8 |
[パスワードの確認(Verify Password)] フィールドに、認証パスワードを再度入力します。 |
||||
| ステップ 9 |
使用するプライバシー プロトコルを [プライバシー プロトコル(Privacy Protocol)] リストから選択するか、プライバシー プロトコルを使用しない場合は [なし(None)] を選択します。 |
||||
| ステップ 10 |
[プライバシー パスワード(Privacy Password)] フィールドに SNMP サーバで必要な SNMP プライバシー キーを入力します。 |
||||
| ステップ 11 |
[パスワードの確認(Verify Password)] フィールドに、プライバシー パスワードを再度入力します。 |
||||
| ステップ 12 |
[追加(Add)] をクリックします。 |
||||
| ステップ 13 |
[保存(Save)] をクリックします。 |
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。
セキュリティ認定準拠の
お客様の組織が、米国防総省およびグローバル認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。Firepower システムでは、以下のセキュリティ認定標準規格へのコンプライアンスをサポートします。
-
コモン クライテリア(CC):国際コモン クライテリア承認アレンジメントによって確立された、セキュリティ製品のプロパティを定義するグローバル標準規格
-
Unified Capabilities Approved Products List(UCAPL):米国国防情報システム局(DISA)によって確立された、セキュリティ要件を満たす製品のリスト
(注)
米国政府は、Unified Capabilities Approved Products List(UCAPL)の名称を Defense Information Network Approved Products List(DODIN APL)に変更しました。このドキュメントおよび Firepower Management Center Web インターフェイスでの UCAPL の参照は、DODIN APL への参照として解釈できます。
-
連邦情報処理標準(FIPS)140:暗号化モジュールの要件に関する規定
セキュリティ認定コンプライアンスは、CC モードまたは UCAPL モードで有効にすることができます。セキュリティ認定コンプライアンスを有効にしても、選択したセキュリティ モードのすべての要件との厳密なコンプライアンスが保証されるわけではありません。強化手順についての詳細は、認定機関から提供されている本製品に関するガイドラインを参照してください。
注意 |
この設定を有効にした場合、無効にすることはできません。設定を無効にする必要がある場合は、サポートに連絡して支援を求めてください。 |
セキュリティ認定準拠特性
次の表は、CC または UCAPL モードを有効にしたときの動作の変更を示しています。(ログイン アカウントの制約は、Web インターフェイス アクセスではなくコマンドラインまたはシェル アクセスを指します。)
|
システムの変更 |
CC モード |
UCAPL モード |
|---|---|---|
|
FIPS コンプライアンスは有効です。 |
○ |
○ |
|
バックアップまたはレポートについては、リモート ストレージは利用できません。 |
○ |
○ |
|
追加のシステム監査デーモンが開始されます。 |
なし |
○ |
|
システム ブートローダは固定されています。 |
なし |
○ |
|
追加のセキュリティがログイン アカウントに適用されます。 |
なし |
○ |
|
ログイン アカウント セッションの自動ログアウトを実行します。 |
なし |
○ |
|
再起動キー シーケンスの Ctrl-Alt-Del を無効にします。 |
なし |
○ |
|
最大 10 の同時ログイン セッションを実行します。 |
なし |
○ |
|
次の場合、システムは、アプライアンスとの SSH セッションで自動的にキーを再生成します:
これは、バージョン 6.1.0.4 またはそれ以降の 6.1.0.x パッチに当てはまります。 |
○ |
○ |
|
システムは、バージョン 6.1.0.6 の場合のみ、eStreamer を使用したイベント データのエクスポートをサポートします。 |
○ |
○ |
|
ログイン アカウントの厳密なセーフガードを適用します。
|
なし |
○ |
セキュリティ認定準拠の推奨事項
セキュリティ認定コンプライアンスの使用が有効のときに、次のベスト プラクティスを確認することをお勧めします。
-
展開時にセキュリティ認定準拠を有効にするには、最初に Firepower Management Center で有効にし、次に、管理対象のすべてのデバイスの同じモードで有効にします。
注意
両方が同じセキュリティ認定準拠モードで動作していない限り、Firepower Management Center は管理対象デバイスからイベント データを受信しません。
-
次の機能を使用するようにシステムを設定できません。 -
電子メールレポート、アラート、データのプルーニング通知。
-
Nmap Scan、Cisco IOS Null Route、Set Attribute Value、ISE EPS の修復。
-
バックアップまたはレポート用のリモート ストレージ。
-
サードパーティ クライアントのシステム データベースへのアクセス。
-
電子メール、SNMP トラップ、syslog から送信される外部通知、アラート。
-
アプライアンスとサーバの間のチャネルを保護するために、SSL 証明書を使用せずに、HTTP サーバまたは syslog サーバに送信された監査ログ メッセージ。
-
-
バージョン 6.1.0.6 の場合のみ、eStreamer を使用してイベント データを外部クライアントにエクスポートするようにシステムを設定できます。
-
CC モードを使用して展開中に SSO を有効にできません。
-
CC モードを使用して展開中に CAC を有効にできません。
-
CC または UCAPL モードを使用した展開では、Firepower REST API 経由で Firepower Management Center および管理対象デバイスへのアクセスを無効にします。
-
UCAPL モードを使用して展開中に CAC を有効にします。
(注) |
|
セキュリティ認定コンプライアンスの有効化
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
該当なし |
任意(Any) |
Management Center 従来型(Classic) |
任意(Any) |
Admin |
この構成は、Firepower Management Center または従来型の管理対象デバイス(7000 および 8000 シリーズ、ASA FirePOWER、NGIPSv)に適用されます。
-
Firepower Management Center では、この構成はシステム構成の一部です。
-
従来型の管理対象デバイスでは、この構成をプラットフォーム設定ポリシーの一部として Firepower Management Center から適用します。
いずれの場合も、システム構成変更を保存するか、共有プラットフォーム設定ポリシーを展開するまでは、構成が有効になりません。
注意 |
この設定を有効にした後は、無効にすることはできません。無効にする必要がある場合は、Cisco TAC にご連絡ください。 |
始める前に
-
アプライアンスでセキュリティ認定コンプライアンスを有効にする前に、展開に組み込む予定のあるすべてのデバイスを Firepower Management Center に登録することをお勧めします。
手順
| ステップ 1 |
設定するアプライアンスの種類に応じて、次のようにします。
|
||
| ステップ 2 |
[UCAPL/CC コンプライアンス(UCAPL/CC Compliance)] をクリックします。
|
||
| ステップ 3 |
アプライアンスのセキュリティ認定コンプライアンスを永続的に有効にするには、2 つの選択肢があります。
|
||
| ステップ 4 |
[保存(Save)] をクリックします。 |
次のタスク
-
まだ適用していない場合は、制御と防御のライセンスを、展開内のすべての従来型アプライアンスに適用します。
-
アプライアンスがバージョン 5.2.0 より前のバージョンから更新された場合は、セキュリティ認定コンプライアンスを有効にすると、アプライアンス証明書が再生成されます。展開全体でセキュリティ認定コンプライアンスを同じモードで有効にした後、管理対象デバイスを Firepower Management Center に再登録します。
-
設定変更を展開します。設定変更の導入を参照してください。
時刻および時刻同期
[時刻(Time)] ページを使用して、Firepower Management Center、あるいは 7000 または 8000 シリーズ デバイスのローカル Web インターフェイスから現在の時刻と時刻源を表示することができます。
時刻の設定は、アプライアンスの大半のページで、[タイム ゾーン(Time Zone)] ページで設定したタイム ゾーン(デフォルトでは [アメリカ/ニューヨーク(America/New York)])を使用してローカル時間で表示されますが、アプライアンス自体には UTC 時間を使用して保存されます。また、現在の時刻は [時刻の同期(Time Synchronization)] ページの上部に UTC で表示されます(ローカル時間は [手動(Manual)] の時計設定オプションで表示されます(有効になっている場合))。
時刻の同期は、[時刻の同期(Time Synchronization)] ページを使用して管理できます。時刻を同期する場合、以下の方法を選択できます。
-
手動で
-
1 つ以上の NTP サーバを使用(推奨)
ハードウェアの Firepower Management Center を NTP サーバとして使用できますが、仮想 Firepower Management Center は NTP サーバとして使用しないでください。
リモートの NTP サーバを指定する場合、アプライアンスにそのサーバに対するネットワーク アクセス権限が必要です。信頼できない NTP サーバを指定しないでください。NTP サーバへの接続では、構成されたプロキシ設定は使用されません。
(注) |
時刻の同期後に、Firepower Management Center と管理対象デバイスの時刻が一致するようにしてください。時刻が一致していない場合、管理対象デバイスが Firepower Management Center と通信する際に意図しない結果が生じるおそれがあります。 |
時刻の同期
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
Management Center 従来型(Classic) |
任意(Any) |
Admin |
この構成は、Firepower Management Center または従来の管理対象デバイス(7000 および 8000 シリーズ、ASA FirePOWER、および NGIPSv)に適用されます。
-
Firepower Management Center では、この構成はシステム構成の一部です。
-
従来の管理対象デバイスでは、この構成をプラットフォーム設定ポリシーの一部として Firepower Management Center から適用します。
いずれの場合も、システム設定変更を保存するか、共有プラットフォーム設定ポリシーを展開するまで、設定は有効にはなりません。
手順
| ステップ 1 |
Firepower Management Center または Classic 管理対象デバイスのいずれを設定しているかに応じて、以下を実行します。
|
||
| ステップ 2 |
[時間同期(Time Synchronization)] をクリックします。 |
||
| ステップ 3 |
管理対象デバイスで時刻を同期する方法を指定する次のオプションがあります。
|
||
| ステップ 4 |
[保存(Save)] をクリックします。
|
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。
-
Management Center と管理対象デバイスの時刻が一致していることを確認します。
フィードバック