Cisco Firepower Management Center 強化ガイド、バージョン 6.4
Firepower はネットワークの資産やトラフィックをサイバー脅威から守りますが、Firepower が「強化」されるように Firepower 自体の設定を行うことも必要です。これにより、サイバー攻撃に対する Firepower の脆弱性がさらに軽減されます。このガイドでは、お使いの Firepower 環境の強化について、特に Firepower Management Center(FMC)を中心に説明します。Firepower 環境の他のコンポーネントに関する強化情報については、次のドキュメントを参照してください。
このガイドは、FMC Web インターフェイスの構成時の設定を示していますが、このインターフェイスの詳細なマニュアルとしての使用を意図したものではありません。機能説明については、Firepower システムのバージョン 6.4 を参照し、相互参照については『Firepower Management Center Configuration Guide』のバージョン 6.4 を参照してください。このマニュアルで説明されているすべての構成時の設定を、すべての Firepower バージョンで使用できるわけではありません。Firepower 環境の設定の詳細については、ご使用のバージョンに対応した Firepower のマニュアルを参照してください。
セキュリティ認定準拠
お客様の組織が、米国国防総省や他の政府/自治体認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。該当する認定当局による認定を受けた後、認定に固有のガイダンス文書に従って設定を行うことで、Firepower 環境は次の認定基準に準拠するようになります。
-
コモンクライテリア(CC):国際コモンクライテリア承認アレンジメントによって確立された、セキュリティ製品の要件を定義するグローバル標準規格
-
Department of Defense Information Network Approved Products List(DoDIN APL):米国国防情報システム局(DISA)によって制定された、セキュリティ要件を満たす製品のリスト
(注)
米国政府は、Unified Capabilities Approved Products List(UCAPL)の名称を DoDIN APL に変更しました。Firepower のドキュメントおよび Firepower Management Center Web インターフェイスでの UCAPL の参照は、DoDIN APL への参照として解釈できます。
-
連邦情報処理標準(FIPS)140:暗号化モジュールの要件に関する規定
認定ガイダンス文書は、製品認定が完了すると個別に入手できます。この強化ガイドの公開によってこれらの製品認定の完了が保証されるわけではありません。
このドキュメントで説明している Firepower の設定は、認定機関が定める現在のすべての要件に厳密に準拠することを保証するものではありません。必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。
このドキュメントでは、FMC のセキュリティを強化するためのガイダンスを説明していますが、FMC の一部の機能については、ここで説明している設定を行っても認定準拠がサポートされません。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Security Certifications Compliance Recommendations」を参照してください。この強化ガイドと『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』が認定固有のガイダンスと矛盾しないように努めてきました。シスコのドキュメントと認定ガイダンスとの間で不一致がある場合は、認定ガイダンスを使用するか、システムの所有者にお問い合わせください。
シスコのセキュリティ アドバイザリおよびレスポンスの確認
Cisco Product Security Incident Response Team(PSIRT)では、シスコ製品のセキュリティ関連の問題についての PSIRT アドバイザリを投稿しています。比較的重大度の低い問題については、シスコではセキュリティ レスポンスも投稿しています。セキュリティ アドバイザリおよびレスポンスは、「シスコのセキュリティ アドバイザリおよびアラート(Cisco Security Advisories and Alerts)」ページで確認できます。これらのコミュニケーション手段の詳細については、「シスコのセキュリティ脆弱性ポリシー」を参照してください。
セキュアなネットワークを維持するため、シスコのセキュリティ アドバイザリおよびレスポンスを常にご確認ください。これらは、脆弱性がネットワークにもたらす脅威を評価するうえで必要な情報を提供します。この評価プロセスのサポートについては、「セキュリティ脆弱性アナウンスメントに対するリスクのトリアージ」を参照してください。
システムの最新状態の維持
シスコでは、問題に対処し改善を行うために、Firepower ソフトウェア アップデートを定期的にリリースしています。システム ソフトウェアを最新の状態に保つことは、強化されたシステムを維持するうえで不可欠です。システムソフトウェアが適切に更新されていることを確認するには、『Firepower Management Center Configuration Guide, Version 6.4』、『』および『Firepower Management Center Upgrade Guide』の「System Updates」の章の情報をご利用ください。
シスコでは、Firepower がネットワークと資産を保護するために使用するデータベースのアップデートも定期的に発行しています。最適な保護を実現するため、位置情報データベース、侵入ルール データベース、および脆弱性データベースを最新の状態に維持してください。Firepower 環境のいずれかのコンポーネントを更新する場合は、アップデートに付属する「Cisco Firepower リリース ノート」を必ずお読みください。これらは、互換性、前提条件、新機能、動作の変更、警告など、重要かつリリースに固有の情報を提供します。アップデートによってはサイズが大きくなり、完了までに時間がかかる場合があります。システム パフォーマンスへの影響を軽減するため、更新はネットワークの使用量が少ない時間帯に行ってください。
位置情報データベース
地理位置情報データベース(GeoDB)は、ルーティング可能な IP アドレスと関連付けられた地理的データ(国、都市、座標など)および接続関連のデータ(インターネット サービス プロバイダー、ドメイン名、接続タイプなど)のデータベースです。検出された IP アドレスと一致する GeoDB 情報が Firepower で検出された場合は、その IP アドレスに関連付けられている位置情報を表示できます。国や大陸以外の位置情報の詳細を表示するには、システムに GeoDB をインストールする必要があります。
FMC Web インターフェイスから GeoDB を更新するには、 を使用し、次のいずれかの方法を選択します。
-
インターネットにアクセスせずに FMC で GeoDB を更新します。
-
インターネットにアクセスし、FMC で GeoDB を更新します。
-
インターネットにアクセスし、FMC で GeoDB の定期的な自動更新をスケジュールします。
詳細については、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Update the Geolocation Database」を参照してください。
侵入ルール
新たな脆弱性が明らかになると、Cisco Talos Security Intelligence and Research Group(Talos)から侵入ルールの更新がリリースされます。これらの更アップデートを FMC にインポートして、変更後の設定を管理対象デバイスに導入することで、侵入ルールの更新を実装できます。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。
FMC Web インターフェイスでは、侵入ルールを更新するための 3 つのアプローチが提供されており、すべて で使用できます。
-
インターネットにアクセスできない FMC の侵入ルールを更新します。
-
インターネットにアクセスできる FMC の侵入ルールを更新します。
-
インターネットにアクセスできる FMC の侵入ルールの定期的な自動更新をスケジュールします。
詳細については、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Update Intrusion Rules」を参照してください。
また、 を使用してローカル侵入ルールをインポートすることもできます。Snort ユーザ マニュアル(http://www.snort.org で入手可能)の指示に従って、ローカル侵入ルールを作成することができます。それらを FMC にインポートする前に、『Firepower Management Center Configuration Guide, Version 6.4』の「Guidelines for Importing Local Intrusion Rules」、『』の「Best Practices for Importing Local Intrusion Rules」を参照し、ローカル侵入ルールのインポートがセキュリティポリシーに準拠していることを確認します。
脆弱性データベース
脆弱性データベース(VDB)は、ホストが影響を受ける可能性がある既知の脆弱性、およびオペレーティングシステム、クライアント、アプリケーションのフィンガープリントを格納するデータベースです。システムでは、VDB を使用して、特定のホストで感染のリスクが高まるかどうかを判断します。
FMC Web インターフェイスでは、VDB を更新するための 2 つのアプローチが提供されています。
-
VDB()を手動で更新します。
-
VDB の更新()をスケジュールします。
詳細については、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Vulnerability Database」を参照してください。
CC または UCAPL モードの有効化
1 つの設定で複数の強化設定変更を適用するには、FMC の CC または UCAPL モードを選択します。この設定は、FMC Web インターフェイスの の下に表示されます。
これらの設定オプションの 1 つを選択すると、『Cisco Firepower Management Center Configuration Guide, Version 6.4 』、『』の「Security Certification Compliance Characteristics」に記載されている変更が有効になります。Firepower 環境内のアプライアンスはすべて、同じセキュリティ認定準拠モードで動作する必要があることに注意してください。
注意 |
この設定を有効にした後は、無効にすることはできません。CC または UCAPL モードを有効にする前の完全な情報については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Security Certifications Compliance」を参照してください。この設定を元に戻す必要が生じた場合は、Cisco TAC にご連絡ください。 |
(注) |
セキュリティ認定準拠を有効にしても、選択したセキュリティ モードのすべての要件への厳密な準拠が保証されるわけではありません。このドキュメントでは、CC または UCAPL モードで提供されるものを超えて展開を強化するために推奨されるその他の設定について説明します。完全準拠に必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。 |
ローカル ネットワーク インフラストラクチャの保護
Firepower 環境では、さまざまな目的で他のネットワーク リソースとやり取りする場合があります。これらの他のサービスを強化することで、Firepower システムだけでなくネットワーク資産のすべてを保護できます。対処する必要があるすべてのものを特定するには、ネットワークとそのコンポーネント、資産、ファイアウォール設定、ポート設定、データ フロー、およびブリッジング ポイントを図式化することを試みてください。
セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立し、遵守します。
ネットワーク タイム プロトコル サーバーの保護
Firepower を正常に動作させるには、FMC とその管理対象デバイスのシステム時刻を同期させることが不可欠です。セキュアで信頼された Network Time Protocol(NTP)サーバーを使用して、 FMC とその管理対象デバイスのシステム時刻を同期させることを強く推奨します。Web インターフェイスから、『Cisco Firepower Management Center Configuration Guide, Version 6.4 Firepower Management Center Configuration Guide, Version 7.0』の「Synchronize Time Using a Network NTP Server」の手順を使用して使用します。FMC
注意 |
FMC と管理対象デバイスの時刻が同期していないと、意図しない結果になることがあります。適切な同期を確保するため、FMC とそのすべての管理対象デバイスについて、同じ NTP サーバーを使用するように設定してください。 |
ドメイン ネーム システム(DNS)の保護
ネットワーク環境で相互に通信しているコンピュータは、DNS プロトコルを利用して、IP アドレスとホスト名の間のマッピングを提供します。ローカル ドメイン ネーム システム サーバに接続するように FMC を設定することは、初期設定プロセスの一環として、ご使用のハードウェアモデルの『Cisco Firepower Management Center Getting Started Guide』に記載されています。
DNS は、セキュリティを考慮して設定されていない DNS サーバーの弱点を利用するようにカスタマイズされた、特定のタイプの攻撃の影響を受ける可能性があります。業界で推奨されているセキュリティのベスト プラクティスに従って、ローカル DNS サーバーを設定してください。シスコでは http://www.cisco.com/c/en/us/about/security-center/dns-best-practices.html でガイドラインを提供しています。
セキュアな SNMP ポーリング
『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「SNMP Polling」で説明されているように、SNMP ポーリングを使用して FMC を監視できます。SNMP ポーリングを使用する場合は、SNMP Management Information Base(MIB)に、連絡先情報、管理情報、位置情報、サービス情報、IP アドレッシングおよびルーティング情報、伝送プロトコルの使用統計情報など、環境の攻撃に利用される可能性のあるシステムの詳細情報が含まれていることに注意する必要があります。そのため、SNMP に基づく脅威からシステムを保護するための設定オプションを選択する必要があります。
(FMC WEB インターフェイスの で)SNMP ポーリングを設定する場合、次のオプションを使用して、Firepower 環境内の SNMP を強化します。
-
SNMPv3 を選択します。これにより、AES128 と読み取り専用ユーザーによる暗号化のみがサポートされます
-
ネットワーク管理アクセス用の [認証パスワード(Authentication Password)] フィールドを設定する場合には、強力なパスワードを使用します。
さらに、SNMP アクセスのアクセス リストを、MIB のポーリングに使用される特定のホストに制限する必要もあります。このオプションは、 の FMC Web インターフェイスに表示されます。『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Configuring the Access List for Your System」を参照してください。
また、FMC は SNMP サーバへの外部アラートの送信もサポートしています。この機能を保護するには、「セキュアな外部アラート」を参照してください。
重要 |
Firepower から SNMP サーバーへのセキュアな接続を確立することはできますが、認証モジュールは FIPS に準拠していません。 |
セキュアなネットワーク アドレス変換(NAT)
通常、ネットワーク接続されたコンピュータは、ネットワーク トラフィック内の送信元 IP アドレスや宛先 IP アドレスを再割り当てするために、ネットワーク アドレス変換(NAT)を使用します。Firepower 環境を保護し、NAT に基づく悪用からネットワーク インフラストラクチャ全体を保護するため、業界のベスト プラクティスや NAT プロバイダーからの推奨事項に従って、ネットワーク内の NAT サービスを設定します。
NAT 環境で動作するように Firepower 展開を設定する方法については、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「NAT Environments」を参照してください。この情報は、環境を確立する際に次の 2 つの段階で使用します。
-
お使いのハードウェア モデルの『Cisco Firepower Management Center Getting Started Guide』の説明に従って、FMC の初期設定を実行する場合。
-
『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Add Devices to the Firepower Management Center」の説明に従って、管理対象デバイスを FMC に登録する場合。
管理対象デバイスへのセキュアなアクセス
Firepower 環境には、FMC によって管理されるセキュリティ デバイスが含まれており、それぞれが異なるアクセス手段を提供します。これらのデバイスは、FMC との間で情報を交換します。これらのデバイスのセキュリティは、環境全体のセキュリティにとって重要です。環境内にあるデバイスを分析して、ユーザー アクセスの保護や不要な通信ポートのクローズなど、必要に応じて強化の設定を適用してください。
FMC ユーザー アクセスの強化
内部および外部ユーザー
FMC は次の 2 種類のユーザーをサポートしています。
-
内部ユーザー:システムは、ローカル データベースでユーザー認証を確認します。
-
外部ユーザ:ユーザがローカル データベースに存在しない場合、システムは外部 LDAP または RADIUS の認証サーバに問い合わせます。
ユーザー管理をネットワーク環境の既存のインフラストラクチャと統合したり、二要素認証などの機能を活用したりする目的で、LDAP や RADIUS などの外部認証メカニズムを使用したユーザー アクセスの確立を検討する場合があります。外部認証を確立するには、FMC Web インターフェイスの中で外部認証オブジェクトを作成する必要があります。外部認証オブジェクトを共有して、管理対象デバイスだけでなく FMC でも外部ユーザを認証できます。
ユーザー アクセスのタイプ
FMC は次の 2 種類のユーザー アクセスをサポートしています。
-
Web インターフェイス(HTTP)。これは内部と外部両方のユーザ アカウントで使用できます。
-
SSH、シリアル、またはキーボードおよびモニタ接続を使用したコマンド ライン アクセス。これは、CLI/シェル アクセス admin アカウントで使用でき、外部ユーザーにも使用を許可できます。
ここでのユーザー管理の説明では、Firepower バージョン 6.4 で使用可能な機能を示しています。この項で説明しているすべてのユーザーアカウント設定機能がすべての Firepower バージョンに適用されるわけではありません。ご使用のシステムに固有の情報については、ご使用のバージョンの『Firepower Management Center Configuration Guide』を参照してください。
管理権限の制限
FMC は、2 つの admin アカウントをサポートしています。
-
Web インターフェイス(HTTP)を介して FMC にアクセスするための admin アカウント。
-
SSH、シリアル、またはキーボードおよびモニタ接続を使用した CLI/シェル アクセス用の admin アカウント。デフォルト設定では、このアカウントは Linux シェルに直接アクセスできます。このアカウントは、Linux シェルではなく FMC 補助 CLI にアクセスするように設定できます(シェル アクセスの制限 を参照)。FMC CLI 内から、このアカウントは CLI expert コマンドを使用して Linux シェルに直接アクセスできます(expert コマンドを無効にしていない場合。この点についても シェル アクセスの制限 を参照)。
(注) |
FMC の初期設定では、両方の admin アカウントのパスワードは同じですが、同じアカウントではないため、システムはこれらのパスワードをさまざまなデータベースに対して検証します。 |
admin アカウントには、同じ権限を持つ追加のアカウントを作成する権限など、他のユーザーよりも上位の設定権限があります。管理権限を持つ任意のアカウントへのアクセスが許可されるユーザを選択する場合には、慎重に検討してください。
詳細については、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「User Accounts for Management Access」を参照してください。
シェル アクセスの制限
デフォルトでは、コマンドラインアクセスを持つユーザーは、ログイン時に Linux シェルに直接アクセスできます。管理者は、Web インターフェイスの を選択して、ログイン時に最初に FMC CLI にアクセスするようにこれらのアカウントを設定できます。 FMC CLI を有効にした場合、 CLI またはシェルユーザーは、Linux シェルにアクセスするため、CLI expert コマンドを入力する追加の手順を実行する必要があります。
(注) |
すべてのデバイスでは、SSH を介した CLI またはシェル SSH へのログイン試行が 3 回連続して失敗したら SSH 接続は終了します。 |
注意 |
すべてのデバイス上で、CLI/シェルへのアクセス権があるユーザはシェルのルート権限を取得できるため、セキュリティ上のリスクが生じる可能性があります。システム セキュリティ上の理由から、次の点を強くお勧めします。
|
FMC アクセスのタイプに関する詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Web Interface and CLI Access」を参照してください。
FMC での Linux シェル アクセスに関連した、実行可能な最も安全な強化アクションは、シェルへのすべてのアクセスをブロックすることです。
-
を使用して Web インターフェイスから FMC CLI を有効にします。
-
SSH、シリアルまたはキーボードおよびモニター接続を使用して FMC にログインします(ご使用の FMC モデルの『Getting Started Guide』を参照してください)。
-
system lockdown コマンドを入力します。(『Firepower Management Center Configuration Guide, Version 6.4』の付録 B を参照してください。)
システムのロックダウンが完了すると、コマンド ライン クレデンシャルで FMC にログインしているユーザがアクセスできるのは、FMC の CLI コマンドのみになります。これは有効な強化措置となる可能性がありますが、Cisco TAC からのホットフィックスがないと元に戻すことができないため、使用にあたっては慎重に検討してください。
FMC CLI の完全な情報については、『Firepower Management Center Configuration Guide, Version 6.4』の付録 B を参照してください。)
マルチテナント機能を使用した管理対象デバイス、設定、およびイベントへのユーザー アクセスのセグメント化
管理者は、Firepower 環境内の管理対象デバイス、設定、およびイベントをドメインにグループ化し、選択したドメインへのアクセスを必要に応じて FMC ユーザに許可できます。ユーザーは、ユーザー ロールによって課された制限に加えて、ドメインの割り当てによって課されるアクセス制限の範囲内で操作します。たとえば、1 つのドメイン内で選択したアカウントへのフル管理者アクセスを許可したり、別のドメイン内でセキュリティ アナリスト アクセスを許可したり、3 番目のドメインへのアクセスを許可しなかったりすることができます。
メニュー オプションを使用して、FMC Web インターフェイスからドメインを作成および管理します。マルチテナンシーの実装に関する完全な情報は、『Cisco Firepower Management Center Configuration Guide, Version 6.4 Firepower Management Center Configuration Guide, Version 7.0』の「ドメイン管理」にあります。
を使用して、FMC Web インターフェイスからドメイン内でのユーザー権限を割り当てます。全詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Add an Internal User at the Web Interface」を参照してください。
内部ユーザー アカウントの強化
内部ユーザは、 Web インターフェイスを介してのみ FMC にアクセスできます。管理者は、 の次の設定を使用して、Web インターフェイスのログイン メカニズムを利用した攻撃に対してシステムを強化することができます。
-
Web インターフェイス ログインの最大失敗回数を制限します。この回数を超えるとアカウントがロックアウトされ、管理者による再アクティブ化が必要になります。
-
パスワード長の最小値を適用します。
-
パスワードの有効日数を設定します。
-
強力なパスワードを要求します。
-
Web インターフェイス セッション タイムアウトの適用からユーザーを除外しません。
-
アカウントに必要なアクセス タイプのみに適合するユーザ ロールを割り当てます。
-
ユーザーに必要なアクセス タイプに適合するドメインを割り当てます。
-
次回のログイン時に、ユーザにアカウント パスワードのリセットを強制します。
これらの設定の詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「User Accounts for Management Access」、『』の「User Accounts for FMC」を参照してください。
管理者は、 の内部 Web インターフェイス ユーザすべてに対して、次の設定をグローバルに実行することもできます。
-
パスワード再利用の制限
-
成功したログインの追跡
-
選択した回数のログイン試行に失敗したユーザーの Web インターフェイス アクセスを一時的にブロックする
これらの設定の詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Global User Configuration Settings」を参照してください。
外部ユーザ アカウントの強化
FMC は、外部サーバ(LDAP または RADIUS)に保存されているユーザ データベースに対して外部ユーザ アカウントを認証します。
(注) |
(注) |
外部認証を使用するには、FMC で DNS を使用する必要があります。DNS を使用するように FMC を設定することは、通常、初期設定プロセス中に行われます。セキュリティに関する業界推奨のベスト プラクティスに従って、ローカル DNS が設定されていることを確認してください。ドメイン ネーム システム(DNS)の保護 を参照してください。 |
重要 |
LDAP または RADIUS サーバとのセキュアな接続を Firepower から設定できますが、認証モジュールは FIPS に準拠していません。 |
FMC ユーザ認証用に外部サーバを設定するには、 で外部認証オブジェクトを作成する必要があります。外部認証されたユーザ アカウントを使用した攻撃に対して FMC を強化するには、外部認証オブジェクトで次のオプションを使用します。
-
アカウントへのシェル アクセスを使用したユーザのアクセスを慎重に制限します。シェル ユーザーは root 権限を取得できます。このため、セキュリティ上のリスクが生じます。
-
アカウントに必要以上のアクセス権を付与しないでください。
-
LDAP を使用している場合、適切な Firepower ユーザ ロールを LDAP ユーザまたはユーザ グループに関連付けます。
-
RADIUS を使用している場合、適切な Firepower ユーザーロールを RADIUS 属性に関連付けます。
-
-
LDAP を使用している場合、外部認証オブジェクトの設定時に、[拡張オプション(Advanced Options)] で TLS または SSL 暗号化を設定します。
詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Configure External Authentication」を参照してください。
セッション タイムアウトの確立
アカウントのログイン セッションの長さを制限すると、権限のないユーザーが無人セッションを悪用する機会が減少します。
FMC でセッションタイムアウトを設定するには、 を使用します。ここで、次のインターフェイス タイムアウト値を分単位で設定できます。
-
ブラウザ セッション タイムアウト:FMC Web インターフェイス セッションのタイムアウト。
-
シェル タイムアウト:CLI/シェル アクセスのタイムアウト。
これらの設定は、アクセス ロールに関係なく、内部および外部アカウントに適用されます。『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Session Timeouts」を参照してください。
REST API アクセスの無効化
Firepower の REST API は、サードパーティ アプリケーションで REST クライアントおよび標準 HTTP メソッドを使用してアプライアンス設定を表示および管理するための軽量のインターフェイスを提供します。Firepower の REST API の詳細については、ご使用のバージョンの『Firepower Management Center REST API Quick Start Guide』を参照してください。
デフォルトでは、FMC はアプリケーションからの REST API を使用した要求を許可します。FMC を強化するには、このアクセスを無効にする必要があります。FMC Web インターフェイスで を選択し、[REST APIを有効にする(Enable REST API)] チェックボックスをオフにします。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「REST API Preferences」を参照してください。
リモート アクセスの制限
FMC では、アクセス リストを使用して、IP アドレスとポートを基準にシステムへのアクセスを制限できます。デフォルトでは、任意の IP アドレスに対して以下のポートが有効化されています。
-
443(HTTPS):Web インターフェイス アクセスに使用されます。
-
22(SSH):CLI/シェル アクセスに使用されます。
さらに、ポート 161 で SNMP 情報をポーリングするためのアクセスも追加できます。
重要 |
Firepower から SNMP サーバへのセキュアな接続を設定することはできますが、認証モジュールは FIPS に準拠していません。 |
よりセキュアな環境で運用するには、これらの形式でのアクセスを特定の IP アドレスにアクセスする場合にのみ許可するように FMC を設定し、任意の IP アドレスへの HTTPS または SSH アクセスを許可するデフォルト ルールを無効にします。これらのオプションは、 FMC Web インターフェイスの [システム(System)] > [設定(Configuration)] > [アクセスリスト(Access List)] に表示されます。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Access List」を参照してください。
修復は使用しない
修復は Firepower システムが相関ポリシー違反に応じて起動するプログラムです。FMC では複数のタイプの修復を設定できますが、どのタイプの場合も、FMC と Firepower の外部のエンティティが安全ではない方法で通信する必要があります。このため、強化された Firepower システムで修復を使用するように設定しないことをお勧めします。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Remediations」を参照してください。
FMC と Web ブラウザの間のセキュア通信
クライアントとサーバーの両方の HTTPS 証明書を使用して、Web インターフェイスを実行しているブラウザと FMC の間の接続を保護することにより、FMC とローカルコンピュータの間で送信される情報を保護します。FMC ではデフォルトの自己署名証明書が使用されますが、世界的に知られていて信頼できる認証局が生成した証明書に置き換えることをお勧めします。
FMC の HTTPS 証明書を設定するには、 FMC Web インターフェイスの を使用します。『Firepower Management Center Configuration Guide, Version 6.4』、『』の「HTTPS Certificates」を参照してください。
バックアップの保護
システム データとその可用性を保護するため、FMC の定期的なバックアップを実行してください。バックアップ機能は、FMC Web インターフェイスの の下に表示されます。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「FMC のバックアップ」、『』の「Back up the Firepower Management Center」を参照してください。
FMC は、リモート デバイスにバックアップを自動的に保存する機能を備えています。強化システムでこの機能を使用することはお勧めできません。FMC とリモート ストレージ デバイス間の接続を保護できないためです。
設定のエクスポートとインポートを保護する
FMC は、さまざまなシステム設定(ポリシー、カスタム テーブル、レポート テンプレートなど)をファイルにエクスポートする機能を備えています。これを使用して、同じ Firepower バージョンを実行している別の FMC に同じ設定をインポートすることができます。これは、環境に新しいアプライアンスを追加する管理者のための時間節約になる機能ですが、セキュリティ違反を防ぐためには慎重に使用する必要があります。エクスポート/インポート機能を使用する場合は、次の注意事項に留意してください。
-
転送される設定情報を保護するため、FMC と Web ブラウザ間の通信を保護します。FMC と Web ブラウザの間のセキュア通信を参照してください。
-
エクスポートされた設定ファイルが保存されているローカル コンピュータへのアクセスを保護します。このファイルを保護することは、Firepower 環境のセキュリティにとって重要です。
-
秘密キーを含む PKI オブジェクトを使用する設定をエクスポートすると、エクスポートの前に秘密キーが復号されることに注意してください。エクスポートされた秘密キーはクリア テキストで保存されます。インポート時に、キーはランダムに生成されたキーで暗号化されます。
設定のエクスポートとインポートの機能は、FMC Web インターフェイスの に表示されます。この機能の詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Configuration Import and Export」を参照してください。
レポートの保護
Firepower システムにはいくつかのタイプのレポートが用意されています。これらすべてには、権限のない人によるアクセスから保護する必要がある機密情報が含まれています。ここで説明するすべてのレポート タイプは、FMC からローカル コンピュータに暗号化されていない形式でダウンロードできます。転送される情報を保護するため、レポートをダウンロードする前に、FMC と Web ブラウザ間の通信を保護します。(「FMC と Web ブラウザの間のセキュア通信」を参照してください)さらに、レポートが保存されているローカル コンピュータへのアクセスを保護します。
-
標準レポートは、システムの全側面に関する詳細でカスタマイズ可能なレポートで、HTML、CSV、PDF 形式で入手できます。リスク レポートは、組織で検出されたリスクの概要を HTML 形式で示します。
FMC Web インターフェイスでは、標準レポートとリスク レポートの両方が に表示されます。これらのレポートの場合、Firepower にはローカル ダウンロードに加えて 2 つのストレージ オプションが用意されており、それぞれにセキュリティ リスクがあります。
-
レポートを選択したサーバに電子メールで自動送信できます。電子メールを保護できないため、強化されたシステムでこの機能を使用することはお勧めしません。
-
レポートをリモート デバイスに自動保存できます。FMC とリモートストレージデバイス間の接続を保護できないため、強化されたシステムにこの機能を使用することはお勧めしません。
標準レポートとリスクレポートの設計と生成に関する詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4 Firepower Management Center Configuration Guide, Version 7.0』、『』の「Working with Reports」を参照してください。
-
-
トラブルシューティングのヘルス モニタ レポートには、システムに問題が発生した場合の診断に Cisco TAC が使用できる情報が含まれています。FMC Web インターフェイスからこれらのレポートを生成するには、 を使用して、『Firepower Management Center Configuration Guide, Version 6.4』、『」の手順を実行します。FMC は、
.tar.gz
形式のトラブルシューティング ファイルを生成します。 -
ポリシー レポートは、現在保存されているポリシーの設定についての詳細を示す PDF ファイルです。ポリシー レポートを生成するには、リポートするポリシーの管理ページにアクセスし、レポート アイコン()をクリックします。) レポートをサポートするポリシーの完全なリストについては、『Cisco Firepower Management Center Configuration Guide』、『』の「Generating Current Policy Reports」を参照してください。
-
比較レポートを使用して、組織の標準規格への準拠やシステム パフォーマンスの最適化を目的としたポリシー変更を確認できます。2 つのポリシーの相違点や、保存されたポリシーと実行コンフィギュレーションの相違点を調べることができます。比較レポート(PDF 形式のみで入手可能)を生成するには、比較するポリシー タイプの管理ページにアクセスし、[ポリシーの比較(Compare Policies)] を選択します。(『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Comparing Policies」を参照してください。
-
インシデント レポートには、概要、ステータス、インシデントに追加するイベントに固有の情報など、セキュリティ ポリシー違反が疑われるインシデントについての情報が含まれている場合があります。これらのレポートは、HTML、PDF、または CSV 形式で生成できます。FMC Web インターフェイスで、 のインシデント分析ページからこれらのレポートを生成し、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Generating Incident Reports」の手順を実行します。
-
侵入イベント クリップボードは、任意の侵入イベント ビューからイベントをコピーし、HTML、PDF、または CSV 形式でイベントについてのレポートを生成できる保存領域です。FMC Web インターフェイスでは、最初にクリップボードにイベントを追加する必要があります。その後、 を使用してレポートを生成できます。『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「The Intrusion Events Clipboard」を参照してください。
セキュアな外部アラート
選択したイベントが発生したときに、外部サーバーへのアラート応答と呼ばれる通知を発行するように FMC を設定できます。これらのアラートは、システム アクティビティのモニタリングに役立つ可能性がありますが、外部サーバーへの接続を保護できない場合、セキュリティ リスクが生じる可能性があります。
FMC は、次の 3 つの形式でアラート応答の送信をサポートします。
-
Syslog に送信されるアラート応答を保護することはできません。(FMC Web インターフェイスの )強化された環境でこのようなアラートを送信するように FMC を設定することは推奨されません。
-
メール リレー ホストとの接続に暗号化(TLS または SSLv3)を使用し、ユーザー名とパスワードを要求するように設定することで、FMC が電子メールで外部サーバーに送信する情報を保護することができます。これは、FMC Web インターフェイスから を使用して行います。 詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Configuring a Mail Relay Host and Notification Address」を参照してください。
メール リレー ホストとの接続を保護すると、FMC が次の機能を使用して送信するデータが保護されます。
-
『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Creating an Email Alert Response」で説明されている電子メールアラート応答。(この設定は、FMC Web インターフェイスの を使用してこの設定を構成します。)
-
『Firepower Management Center Configuration Guide, Version 6.4』、『』の「Configuring Database Event Limits」で説明されているデータプルーニング通知。(この設定は、FMC Web インターフェイスの の下でこの設定を構成します。)
-
-
SNMP サーバーに送信されるアラートは、FMC Web インターフェイスの で次のオプションを使用して保護できます。
-
[バージョン(Version)] については SNMP v3 を選択します。このプロトコルは以下をサポートします。
-
AES128 および読み取り専用ユーザーによる暗号化。
-
-
接続を保護する認証プロトコル(MD5 または SHA)を選択して、パスワードを入力します。
-
プライバシー プロトコルとして DES を選択し、パスワードを入力します。
-
システムがメッセージのエンコードに使用するエンジン IDを指定します。FMC の IP アドレスの 16 進数バージョンを使用することを推奨します。たとえば、FMC の IP アドレスが 10.1.1.77 である場合、0a01014D0 を使用します。
さらに、SNMP アクセスのアクセス リストを、FMC が SNMP アラートを送信する特定のホストに制限する必要もあります。(このオプションは、 の FMC Web インターフェイスに表示されます。『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Configure an Access List」を参照してください)。
FMC は、SNMP ポーリングもサポートしています。この機能を保護するには、「セキュアな SNMP ポーリング」を参照してください。
-
重要 |
Firepower から SNMP サーバまたは SMTP サーバへのセキュアな接続を設定することはできますが、認証モジュールは FIPS に準拠していません。 |
外部アラートの全詳細については、『Firepower Management Center Configuration Guide, Version 6.4』、『』の「External Alerting with Alert Response」を参照してください。
監査ログの保護
FMC は、 を使用して設定されたユーザ アクティビティの読み取り専用ログを保持します。FMC のメモリ リソースを節約するため、これらのログを外部(Syslog または HTTP サーバーへのストリーミング)で保存することもできます。ただし、この方法では、TLS を有効にし、TLS 証明書を使用して相互認証を確立することによって、監査ログストリーミングのチャネルを保護しない限り、セキュリティリスクが生じる可能性があります。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Securely Stream Audit Logs」を参照してください。
eStreamer への接続の保護
Event Streamer(eStreamer)を使用すると、FMC からの数種類のイベント データを、カスタム開発されたクライアント アプリケーションにストリーム配信できます。詳細については、ご使用のバージョンの『Firepower eStreamer Integration Guide』を参照してください。組織が eStreamer クライアントの作成と使用を選択した場合、次の予防措置を講じてください。
-
セキュリティに関する業界のベスト プラクティスを使用してアプリケーションを開発する
-
データが安全に送信されるように、FMC と eStreamer クライアント間の接続を設定します。この設定は、 の FMC Web インターフェイスで、EStreamer クライアントを実行中のホストとの接続を保護する証明書ファイルを暗号化するためのパスワードを指定することによって実行します。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Configuring eStreamer Client Communications」を参照してください。
サードパーティ データベース アクセスのブロック
サードパーティのクライアント アプリケーションが FMC データベースにアクセスできないことを確認します。FMC Web インターフェイスの で、[外部データベースアクセスの許可(Allow External Database Access)] チェックボックスがオフになっていることを確認します。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「External Database Access Settings」を参照してください。
ログイン バナーのカスタマイズ
システム ログイン ページは、FMC へのアクセスが許可されているユーザーと許可されていないユーザーの両方に表示される可能性があります。ログイン バナーをカスタマイズして、誰が見ても差し支えない情報のみが表示されるようにします。FMC Web インターフェイスで、 を使用します。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Login Banners」を参照してください。
ネットワーク ユーザーの権限のあるログイン、認識、および制御をサポートするサーバーへのセキュアな接続
Firepower アイデンティティ ポリシーは、アイデンティティソースを使用してネットワーク ユーザーを認証し、ユーザーを認識し制御する目的でユーザー データを収集します。ユーザ アイデンティティ ソースを確立するには、 FMC または管理対象デバイスと、次のいずれかのタイプのサーバとの間の接続が必要です。
-
Microsoft Active Directory
-
Linux OpenLDAP
-
RADIUS
重要 |
LDAP、Microsoft AD、または RADIUS サーバへのセキュアな接続を Firepower から設定できますが、認証モジュールは FIPS に準拠していません。 |
(注) |
(注) |
Firepower はこれらの各サーバを使用して、ユーザ アイデンティティ機能の候補のさまざまな組み合わせをサポートします。完全な詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「About User Identity Sources」を参照してください。 |
(注) |
Firepower は、RADIUS サーバを使用してネットワークに VPN 機能を提供することもできます。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Firepower Threat Defense VPN」を参照してください。 |
Active Directory サーバーおよび LDAP サーバーとの接続の保護
Firepower には「レルム」と呼ばれるオブジェクトがあります。レルムは、Active Directory サーバーまたは LDAP サーバー上のドメインに関連付けられている接続設定を記述するものです。レルムの設定の詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』、『』の「Create and Manage Realms」を参照してください。
FMC Web インターフェイスの でレルムを作成する場合は、AD サーバーまたは LDAP サーバーとの接続を保護するため、次の点に注意してください。
Active Directory サーバーに関連付けられるレルムの場合:
-
[AD 参加パスワード(AD Join Password)] と [ディレクトリ パスワード(Directory Password)] で強力なパスワードを選択します。
-
Active Directory レルムにディレクトリを追加する際に次のようにします。
-
[暗号化(Encryption)] モードとして [STARTTLS] または [LDAPS] を選択します([なし(None)] は選択しないでください)。
-
Active Directory ドメイン コントローラへの認証に使用する [SSL 証明書(SSL Certificate)] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。
-
LDAP サーバーに関連付けられるレルムの場合:
-
[ディレクトリ パスワード(Directory Password)] で強力なパスワードを選択します。
-
LDAP レルムにディレクトリを追加する際に次のようにします。
-
[暗号化(Encryption)] モードとして [STARTTLS] または [LDAPS] を選択します([なし(None)] は選択しないでください)。
-
LDAP サーバーへの認証に使用する [SSL 証明書(SSL Certificate)] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。
-
RADIUS サーバーとの接続の保護
RADIUS サーバとの接続を設定するには、FMC Web インターフェイスの で RADIUS サーバ グループ オブジェクトを作成し、そのグループに RADIUS サーバを追加します。RADIUS サーバとの接続を保護するには、[新しい RADIUS サーバ(New RADIUS Server)] ダイアログで次のオプションを選択します。
-
管理対象デバイスと RADIUS サーバ間でデータを暗号化するための [キー(Key)] と [キーの確認(Confirm Key)] を指定します。
-
セキュアなデータ送信をサポートできる接続用のインターフェイスを指定します。
サポート コンポーネントの強化
FMC ソフトウェアは、基盤となる複雑なファームウェアとオペレーティング システム ソフトウェアに依存しています。これらの基盤となるソフトウェア コンポーネントには独自のセキュリティ リスクが潜んでおり、対処する必要があります。
-
セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立してください。
-
FMC モデル 1000、1600、2000、2500、2600、4000、4500、および 4600 の場合、 FMC ソフトウェアの基盤となるハードウェア デバイスのコンポーネントを強化するには、『Cisco UCS Hardening Guide』を参照してください。