- シスコ ASA FirePOWER モジュールの概要
- デバイス設定の管理
- 再使用可能オブジェクトの管理
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレス レピュテーションを使用したブラックリスト登録
- アクセス コントロール ルールを使用したトラフィック フローの調整
- ネットワークベースのルールによるトラフィックの制御
- レピュテーション ベースのルールによるトラフィックの制御
- アクセス コントロール ルール:レルムとユーザ
- アクセス コントロール ルール:カスタム セキュリティ グループ タグ
- 侵入ポリシーおよびファイル ポリシーを使用したトラフィックの制御
- インテリジェント アプリケーション バイパス(IAB)
- コンテンツ制限を使用したアクセス コントロール
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリシーについて
- ネットワーク分析ポリシーまたは侵入ポリシーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベントの記録のグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアおよび禁止されたファイルのブロッキング
- ネットワーク トラフィックの接続のロギング
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ASA FirePOWER ダッシュボードの使用
- ASA FirePOWER レポートの使用
- タスクのスケジューリング
- システム ポリシーの管理
- ASA FirePOWER モジュール設定の設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、および通信ポート
Cisco ASA with FirePOWER Services バージョン 6.2.3 ローカル管理設定ガ イ ド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年9月24日
章のタイトル: ユーザ アイデンティティ ソース
ユーザ アイデンティティ ソース
ASA FirePOWER モジュールは、次のアイデンティティ ソースをサポートしています。
- 権限のある ユーザ エージェント レポートは、ユーザ認識とユーザ アクセス コントロールに関するユーザ データを収集します。ホストにログインまたはホストからログアウトするとき、または Active Directory クレデンシャルで認証するときにユーザをモニタするようにユーザ エージェントを設定するには、ユーザ エージェントのアイデンティティ ソースを参照してください。
- 権限のある Identity Services Engine(ISE) または ISE-PIC レポートは、ユーザ認識とユーザ アクセス コントロールに関するユーザ データを収集します。ISE/ISE-PIC が展開されていて、Active Directory ドメイン コントローラ(DC)を使用した認証時にユーザをモニタするように ISE/ISE-PIC を設定する場合は、ISE/ISE-PIC アイデンティティ ソースを参照してください。
- 権限のある キャプティブ ポータル認証 はアクティブにネットワークのユーザを認証し、ユーザ認識とユーザ制御に関するユーザ データを収集します。キャプティブ ポータル認証を実行するために仮想ルータまたは FirePOWER Threat Defense デバイスを設定する場合は、キャプティブ ポータル アクティブ認証のアイデンティティ ソースを参照してください。
これらのアイデンティティ ソースからのデータは、ASA FirePOWER モジュール ユーザ データベースおよびユーザ アクティビティ データベースに保存されます。データベース サーバ クエリーを設定すると、モジュールに新しいデータを自動的にダウンロードすることができます。
ASA FirePOWER モジュールでのユーザ検出の詳細については、ユーザ検出の基礎を参照してください。
ユーザ アイデンティティ ソースに関する問題のトラブルシューティング
ユーザ アイデンティティ ソースに関する問題のトラブルシューティングについては、次の各項を参照してください。
ユーザ エージェントの接続に関する問題が発生した場合は、『 FirePOWER User Agent Configuration Guide 』を参照してください。
ユーザ エージェントによって報告されるユーザ データに関する問題が発生した場合は、次の点に注意してください。
- システムはデータがまだデータベースにないユーザ エージェント ユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。状況によっては、システムが Active Directory サーバからこの情報を正常に取得するために 60 分かかることもあります。データ取得が成功するまで、ユーザ エージェント ユーザから見えるアクティビティはアクセス コントロール ルールで処理され、Web インターフェイスに表示されません。
ISE/ISE-PIC 接続に問題が起こった場合は、次のことを確認してください。
- ISE と FirePOWER システムを正常に統合するには、ISE 内の pxGrid アイデンティティ マッピング機能を有効にする必要があります。
- すべての ISE システム証明書と FirePOWER Management Center 証明書には、 serverAuth と clientAuth 拡張キー使用値が含まれている必要があります。
- ISE デバイスの時間は、FirePOWER Management Center の時間と同期されている必要があります。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。
- 展開にプライマリとセカンダリの pxGrid ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。
- 展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。
ISE/ISE-PIC によって報告されるユーザ データに関する問題が発生した場合は、次の点に注意してください。
- システムはデータがまだデータベースにない ISE ユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。状況によっては、システムが Active Directory サーバからこの情報を正常に取得するために 60 分かかることもあります。データ取得が成功するまで、ISE ユーザから見えるアクティビティはアクセス コントロール ルールで処理され、Web インターフェイスに表示されません。
- LDAP、RADIUS、または RSA ドメイン コントローラで認証された ISE ユーザに対しては、ユーザ制御を実行できません。
- ASA FirePOWER モジュールは、ISE ゲスト サービス ユーザのユーザ データは受信しません。
- ISE のバージョンと設定は、FirePOWER システムでの ISE の使用方法に影響を与えます。詳細については、ISE/ISE-PIC アイデンティティ ソースを参照してください。
- ISE-PIC は ISE 属性のデータを提供しません。
キャプティブ ポータル認証に関する問題が発生した場合は、次の点に注意してください。
- キャプティブ ポータル サーバの時刻は、ASA FirePOWER モジュールの時刻と同期している必要があります。
- 設定済みの DNS 解決があり、Kerberos(または Kerberos をオプションとする場合は HTTP ネゴシエート)キャプティブ ポータルを実行するアイデンティティ ルールを作成する場合は、キャプティブ ポータル デバイスの完全修飾ドメイン名(FQDN)を解決するように DNS サーバを設定する必要があります。FQDN は、DNS 設定時に指定したホスト名と一致する必要があります。
ASA with FirePOWER Services デバイスの場合、FQDN は、キャプティブ ポータルに使用されるルーテッド インターフェイスの IP アドレスに解決される必要があります。
- Kerberos(または Kerberos をオプションとする場合は HTTP ネゴシエート)をアイデンティティ ルールの [認証タイプ(Authentication Type)] として選択する場合は、選択する [レルム(Realm)] には、Kerberos キャプティブ ポータル アクティブ認証を実行できるようにするため、[AD 参加ユーザ名(AD Join Username)] および [AD 参加パスワード(AD Join Password)] が設定されている必要があります。
- アイデンティティ ルールの [認証タイプ(Authentication Type)] として [HTTP 基本(HTTP Basic)] を選択した場合、ネットワーク上のユーザはセッションがタイムアウトしたことを認識しない場合があります。ほとんどの Web ブラウザは、HTTP 基本ログインからクレデンシャルをキャッシュし、古いセッションがタイムアウトした後にシームレスに新しいセッションを開始するためにそのクレデンシャルを使用します。
- キャプティブ ポータルに使用する予定のデバイスにインライン インターフェイスとルーテッド インターフェイスの両方が含まれる場合、キャプティブ ポータル デバイス上でルーテッド インターフェイスだけを対象とするようにキャプティブ ポータル アイデンティティ ルールでゾーン条件を設定する必要があります。
ユーザ エージェントのアイデンティティ ソース
ユーザ エージェントはパッシブな認証方法であり、ASA FirePOWER モジュールでサポートされる権限のあるアイデンティティ ソースの 1 つです。ASA FirePOWER モジュールと統合すると、エージェントは、ホストにログインまたはホストからログアウトするとき、または Active Directory クレデンシャルで認証するときにユーザをモニタします。ユーザ エージェントは失敗したログイン試行を報告しません。ユーザ エージェントから取得されたデータは、ユーザ認識とユーザ制御に使用できます。パッシブ認証はアイデンティティ ポリシーで呼び出します。
ユーザ エージェントをインストールして使用することで、ユーザ制御を実行できます。つまり、エージェントがユーザと IP アドレスを関連付け、これによりユーザの条件によるアクセス コントロール ルールをトリガーできるようになります。1 つのエージェントを使用して、最大 5 つの Active Directory サーバでユーザ アクティビティをモニタできます。
ユーザ エージェントは段階的な設定が必要であり、以下が含まれます。
- エージェントがインストールされたコンピュータまたはサーバ。
- ASA FirePOWER モジュールとエージェントがインストールされたコンピュータまたは Active Directory サーバとの間の接続。
- ASA FirePOWER モジュールとアイデンティティ レルム内のディレクトリとして設定されたモニタ対象 LDAP サーバとの間の接続。
段階的なユーザ エージェントの設定とサーバの要件の詳細については、『 User Agent Configuration Guide 』を参照してください。
ASA FirePOWER モジュール接続は、ログインとログオフがユーザ エージェントによって検出されたユーザのメタデータを取得可能にするだけでなく、アクセス コントロール ルール内で使用するユーザとグループを指定するためにも使用されます。エージェントが特定のユーザ名を除外するように設定されている場合は、そのようなユーザ名のログイン データは ASA FirePOWER モジュールに報告されません。ユーザ エージェント データは、デバイスのユーザ データベースとユーザ アクティビティ データベースに保存されます。
(注
) ユーザ エージェントは $ 記号で終わる Active Directory ユーザ名を ASA FirePOWER モジュールに送信できません。これらのユーザをモニタする場合は、最後の $ の文字を削除する必要があります。
複数のユーザがリモート セッションを使用してホストにログインしている場合は、エージェントがそのホストからのログインを正確に検出しない場合があります。これを防ぐ方法については、『 User Agent Configuration Guide 』を参照してください。
ユーザ エージェント接続の設定
- ユーザ アクセス コントロールを実装する場合は、レルムの作成の説明に従ってユーザ エージェント接続用の Active Directory レルムを設定して有効にします。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [統合(Integration)] > [アイデンティティ ソース(Identity Sources)] の順に選択します。
手順 2 [サービス タイプ(Service Type)] に [ユーザ エージェント(User Agent)] を選択し、ユーザ エージェント接続を有効にします。
(注) 接続を無効にするには、[なし(None)] を選択します。
手順 3 [新規エージェントの追加(Add New Agent)] ボタンをクリックして新しいエージェントを追加します。
手順 4 エージェントをインストールするコンピュータの [ホスト名(Hostname)] または [アドレス(Address)] を入力します。IPv4 アドレスを使用する必要があります。IPv6 アドレスを使用してユーザ エージェントに接続するように ASA FirePOWER モジュールを設定することはできません。
手順 6 接続を削除するには、削除アイコン(
)をクリックして、その削除を確認します。
ISE/ISE-PIC アイデンティティ ソース
Cisco Identity Services Engine(ISE)または ISE Passive Identity Connector(ISE-PIC)の展開を ASA FirePOWER モジュールと統合して、ISE/ISE-PIC をパッシブ認証に使用できます。パッシブ認証はアイデンティティ ポリシーで呼び出します。
ISE/ISE-PIC は、信頼できるアイデンティティ ソースで、Active Directory(AD)、LDAP、RADIUS、または RSA によって認証するユーザに関するユーザ認識データを提供します。さらに、AD ユーザのユーザ制御を行えます。ISE/ISE-PIC は、ISE ゲスト サービス ユーザの失敗したログイン試行またはアクティビティは報告しません。
(注) ASA FirePOWER モジュールは、マシンの認証をユーザと関連付けないため、AD 認証と同時に 802.1x マシン認証を使用することはできません。802.1x アクティブ ログインを使用する場合は、802.1x アクティブ ログイン(マシンとユーザの両方)だけを報告するように ISE を設定します。このように設定すれば、マシン ログインはシステムに 1 回だけ報告されます。
Cisco ISE/ISE-PIC の詳細については、『 Cisco Identity Services Engine Administrator Guide 』および『 Identity Services Engine Passive Identity Connector (ISE-PIC) Installation and Administrator Guide 』を参照してください。
ご使用の ISE/ISE-PIC バージョンと設定は、次のように ASA FirePOWER モジュールとの統合や相互作用に影響を与えます。
- ISE/ISE-PIC サーバと ASA FirePOWER モジュール の時刻を同期します。そうしないと、システムが予期しない間隔でユーザのタイムアウトを実行する可能性があります。
- 多数のユーザ グループをモニタするように ISE/ISE-PIC を設定した場合、システムはメモリ制限のためにグループに基づいてユーザ マッピングをドロップすることがあります。その結果、レルムまたはユーザ条件を使用するアクセス コントロール ルールが想定どおりに適用されない可能性があります。
- ISE のバージョン 2.0 パッチ 4 には、IPv6 対応エンドポイントのサポートが含まれています。
- ISE-PIC は ISE 属性のデータを提供しません。
ASA FirePOWER モジュールのこのバージョンと互換性がある特定のバージョンの ISE/ISE-PIC については、『 Cisco Firepower Compatibility Guide 』を参照してください。
ISE 接続を設定すると、ISE 属性データが ASA FirePOWER モジュール データベースに入力されます。ユーザ認識とユーザ制御に使用できる ISE 属性は、次のとおりです。これは、ISE-PIC ではサポートされません。
セキュリティ グループ タグ(SGT)(Security Group Tag (SGT))
セキュリティ グループ タグ(SGT)は、信頼ネットワーク内のトラフィックの送信元の権限を指定します。ユーザが TrustSec または ISE でセキュリティ グループを追加すると、セキュリティ グループ アクセス(Cisco TrustSec と Cisco ISE の両方に共通の機能)により、SGT が自動的に生成されます。パケットがネットワークに入ると、SGA によって SGT 属性が適用されます。SGT をアクセス コントロールに使用するには、ISE をアイデンティティ ソースとして設定するか、またはカスタム SGT オブジェクトを作成します。詳細については、ISE SGT ルール条件とカスタム SGT ルール条件との比較を参照してください。
SGT ISE 属性ルール条件は、ポリシー内で関連するアイデンティティ ポリシーの有無にかかわらず設定できます。
エンドポイント ロケーション(ロケーション IP とも呼ばれる)
[エンドポイント ロケーション(Endpoint Location)] 属性は Cisco ISE によって適用され、エンドポイント デバイスの IP アドレスを特定します。
関連付けられたアイデンティティ ポリシーがあるポリシー内では、ロケーション IP を ISE 属性ルール条件としてのみ設定できます。
エンドポイント プロファイル(デバイス タイプとも呼ばれる)
[エンドポイント プロファイル(Endpoint Profile)] 属性は Cisco ISE によって適用され、各パケットのエンドポイント デバイス タイプを特定します。
関連付けられたアイデンティティ ポリシーがあるポリシー内では、デバイス タイプを ISE 属性ルール条件としてのみ設定できます。
ISE/ISE-PIC フィールド
次のフィールドを使用して ISE/ISE-PIC への接続を設定します。
プライマリおよびセカンダリ ホスト名/IP アドレス(Primary and Secondary Host Name/IP Address)
プライマリ(およびオプションでセカンダリ)ISE サーバのホスト名または IP アドレス。
pxGrid サーバ CA(pxGrid Server CA)
pxGrid フレームワークの認証局。展開にプライマリとセカンダリの pxGrid ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。
一括ダウンロード実行時の ISE 証明書の認証局。展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。
MC サーバ証明書(MC Server Certificate)
ISE への接続時、または一括ダウンロードの実行時に ASA FirePOWER モジュールが ISE に提供する必要がある証明書およびキー。
[MC サーバ証明書(MC Server Certificate)] には、 clientAuth 拡張キー使用値が含まれている必要があります。そうでない場合、拡張キー使用値は含まれていてはなりません。
ISE ネットワーク フィルタ(ISE Network Filter)
ISE がモニタするネットワークを制限するために設定できるオプション フィルタ。フィルタを指定する場合、ISE はそのフィルタ内のネットワークをモニタします。次の方法でフィルタを指定できます。
– CIDR 表記を使用して単一の IPv4 アドレス ブロックを入力します。
– CIDR 表記を使用して IPv4 アドレス ブロックのリストをカンマで区切って入力します。
(注) このバージョンの Firepower システムは、ISE のバージョンに関係なく、IPv6 アドレスを使用したフィルタリングをサポートしません。
ISE/ISE-PIC 接続の設定
- レルムの作成の説明に従って、レルムを設定します。アクセス コントロール ルールで ISE 属性条件を設定できるようにするには、その前にユーザによるダウンロード(自動またはオンデマンド)が実行される必要があります。
(注) SGT ISE 属性条件を設定することを計画しているものの、ユーザ、グループ、レルム、エンドポイント ロケーション、エンドポイント プロファイルの条件の設定は計画していない場合、レルムの設定はオプションです。
手順 1 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [統合(Integration)] > [アイデンティティ ソース(Identity Sources)] の順に選択します。
手順 2 [サービス タイプ(Service Type)] に [Identity Services Engine] を選択し、ISE/ISE-PIC 接続を有効にします。
(注) 接続を無効にするには、[なし(None)] を選択します。
手順 3 [プライマリ ホスト名/IP アドレス(Primary Host Name/IP Address)] と、オプションで [セカンダリ ホスト名/IP アドレス(Secondary Host Name/IP Address)] を入力します。
手順 4 [pxGrid サーバ CA(pxGrid Server CA)]、[MNT サーバ CA(MNT Server CA)]、および [MC サーバ証明書(MC Server Certificate)] ドロップダウンリストから適切な証明書を選択します。オプションで、追加アイコン(
)をクリックしてオブジェクトを即座に作成します。
手順 5 オプションで、CIDR ブロック表記を使用して ISE ネットワーク フィルタ を入力します。
手順 6 接続をテストする場合は、[テスト(Test)] をクリックします。
キャプティブ ポータル アクティブ認証のアイデンティティ ソース
キャプティブ ポータルは、ASA FirePOWER モジュールでサポートされる権限のあるアイデンティティ ソースの 1 つです。ASA FirePOWER モジュールでサポートされる唯一のアクティブな認証方式であり、ユーザはデバイスを通じてネットワークに認証できます。
キャプティブ ポータル経由のアクティブ認証は、HTTP および HTTPS トラフィックのみで実行されます。HTTPS トラフィックでキャプティブ ポータルを実行する場合は、キャプティブ ポータルを使用して認証するユーザから送信されたトラフィックを復号する SSL ルールを作成する必要があります。
設定して展開すると、指定レルムのユーザはバージョン 9.5(2) 以降を実行しているルーテッド モードの ASA FirePOWER デバイス経由で認証されます。キャプティブ ポータルから取得された認証データはユーザ認識とユーザ制御に使用できます。
キャプティブ ポータルはまた、失敗した認証の試行を記録します。失敗した試行で新しいユーザがデータベース内のユーザのリストに追加されることはありません。キャプティブ ポータルで報告される失敗した認証アクティビティのユーザ アクティビティ タイプは [認証失敗ユーザ(Failed Auth User)] です。
captive-portal ASA CLI コマンドを使用して、使用バージョンの『 ASA Firewall Configuration Guide 』の説明に従ってキャプティブ ポータルのアクティブ認証を有効にします( http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-and-configuration-guides-list.html [英語])。アイデンティティ ポリシーのキャプティブ ポータルの設定を続け、アイデンティティ ルールのアクティブ認証を呼び出します。アイデンティティ ポリシーはアクセス コントロール ポリシーで呼び出されます。詳細については、キャプティブ ポータル(アクティブ認証)の設定を参照してください。
キャプティブ ポータルは、設定された 1 つ以上のルーテッド インターフェイスを使用してデバイスによってのみ実行できます。
アクセス コントロール ルールおよび SSL ルールの次の要件に注意してください。
- キャプティブ ポータルに使用する IP アドレスおよびポート宛てのトラフィックを許可するようにアクセス コントロール ルールを設定する必要があります。宛先ポートがアクセス コントロール ポリシーで許可されない場合、トラフィックはキャプティブ ポータルを使用して認証できません。
- HTTPS トラフィックでキャプティブ ポータルを使用してアクティブ認証を実行する場合は、キャプティブ ポータルを使用して認証するユーザから送信されたトラフィックを復号する SSL ルールを作成する必要があります。
- キャプティブ ポータル接続でトラフィックを復号する場合、キャプティブ ポータルに使用するポート宛てのトラフィックを復号する SSL ルールを作成する必要があります。
ASA FirePOWER モジュール サーバのダウンロード
ASA FirePOWER モジュールと LDAP または AD サーバ間の接続により、次の特定の検出されたユーザのユーザおよびユーザ グループのメタデータを取得することができます。
- キャプティブ ポータルで認証されたか、あるいはユーザ エージェントまたは ISE/ISE-PIC で報告された LDAP および AD のユーザ。このメタデータは、ユーザ認識とユーザ制御に使用できます。
- トラフィック ベースの検出で検出された POP3 と IMAP ユーザ ログイン(ユーザが LDAP または AD ユーザと同じ電子メール アドレスを持つ場合)。このメタデータは、ユーザ認識に使用できます。
ASA FirePOWER モジュール ユーザ データベース サーバ接続はレルム内のディレクトリとして設定します。ユーザ認識とユーザ制御のためにレルムのユーザおよびユーザ グループ データをダウンロードするには、[アクセス コントロールのためのユーザおよびユーザ グループのダウンロード(Download users and user groups for access control)] チェックボックスをオンにする必要があります。
フィードバック