Cisco Firepower Threat Defense バージョン 6.4 強化ガイド

Firepower はネットワークの資産やトラフィックをサイバー脅威から守りますが、Firepower が「強化」されるように Firepower 自体の設定を行うことも必要です。これにより、サイバー攻撃に対する Firepower の脆弱性がさらに軽減されます。このガイドでは、お使いの Firepower 環境の強化について、特に Firepower Threat DefenseFTD)を中心に説明します。Firepower 環境にある他のコンポーネントの強化については、次のドキュメントを参照してください。

このガイドでは、FTD デバイスを設定する 2 つの異なる方法について参照していますが、関係するどちらのインターフェイスについてもマニュアルとしてその詳細を説明するものではありません。

このドキュメント内のすべての機能の説明は、Firepower バージョン 6.4 に関連しています。このマニュアルで説明している設定のすべてが、Firepower のすべてのバージョンで使用できるわけではありません。Firepower 環境の設定の詳細については、ご使用のバージョンに対応した Firepower のマニュアルを参照してください。

セキュリティ認定準拠

お客様の組織が、米国国防総省や他の政府/自治体認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。該当する認定当局による認定を受けた後、認定に固有のガイダンス文書に従って設定を行うことで、Firepower 環境は次の認定基準に準拠するようになります。

  • コモン クライテリア(CC):国際コモン クライテリア承認アレンジメントによって確立された、セキュリティ製品の要件を定義するグローバル標準規格

  • Department of Defense Information Network Approved Products List(DoDIN APL):米国国防情報システム局(DISA)によって制定された、セキュリティ要件を満たす製品のリスト


    (注)  

    米国政府は、Unified Capabilities Approved Products List(UCAPL)の名称を DoDIN APL に変更しました。Firepower のドキュメントおよび Firepower Management Center Web インターフェイスでの UCAPL の参照は、DoDIN APL への参照として解釈できます。


  • 連邦情報処理標準(FIPS)140:暗号化モジュールの要件に関する規定

認定ガイダンス文書は、製品認定が完了すると個別に入手できます。この強化ガイドの公開によってこれらの製品認定の完了が保証されるわけではありません。

このドキュメントで説明している Firepower の設定は、認定機関が定める現在のすべての要件に厳密に準拠することを保証するものではありません。必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

このドキュメントでは、FTD のセキュリティを強化するためのガイダンスを説明していますが、FTD の一部の機能については、ここで説明している設定を行っても認定準拠がサポートされません。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Security Certifications Compliance Recommendations」を参照してください。シスコでは、この強化ガイドと『Firepower Management Center Configuration Guide, Version 6.4』の内容が認定固有のガイダンスと矛盾を起こさないように努めました。シスコのドキュメントと認定ガイダンスとの間で食い違いがある場合は、認定ガイダンスを使用するか、システムの所有者にお問い合わせください。

シスコのセキュリティ アドバイザリおよびレスポンスの確認

Cisco Product Security Incident Response Team(PSIRT)では、シスコ製品のセキュリティ関連の問題についての PSIRT アドバイザリを投稿しています。比較的重大度の低い問題については、シスコではセキュリティ レスポンスも投稿しています。セキュリティ アドバイザリおよびレスポンスは、「シスコのセキュリティ アドバイザリおよびアラート(Cisco Security Advisories and Alerts)」ページで確認できます。これらのコミュニケーション手段の詳細については、「シスコのセキュリティ脆弱性ポリシー」を参照してください。

セキュアなネットワークを維持するため、シスコのセキュリティ アドバイザリおよびレスポンスを常にご確認ください。これらは、脆弱性がネットワークにもたらす脅威を評価するうえで必要な情報を提供します。この評価プロセスのサポートについては、「セキュリティ脆弱性アナウンスメントに対するリスクのトリアージ」を参照してください。

システムの最新状態の維持

シスコでは、問題に対処し改善を行うために、Firepower ソフトウェア アップデートを定期的にリリースしています。システム ソフトウェアを最新の状態に保つことは、強化されたシステムを維持するうえで不可欠です。システム ソフトウェアが正しく更新されるようにするため、『Firepower Management Center Configuration Guide, Version 6.4』の「System Software Updates」の章で説明している情報と、『Firepower Management Center Upgrade Guide』の情報を参照してください。

また、シスコでは、Firepower がネットワークと資産を保護するために使用するデータベースのアップデートも定期的に発行しています。FMC によって管理される FTD デバイスが最適な状態で保護されるように、管理用 FMC の位置情報データベース、侵入ルール データベース、および脆弱性データベースを最新の状態に維持してください。Firepower 環境のいずれかのコンポーネントを更新する場合は、アップデートに付属する「Cisco Firepower Release Notes」を必ずお読みください。これらは、互換性、前提条件、新機能、動作の変更、警告など、重要かつリリースに固有の情報を提供します。アップデートによってはサイズが大きくなり、完了までに時間がかかる場合があります。システム パフォーマンスへの影響を軽減するため、更新はネットワークの使用量が少ない時間帯に行ってください。

位置情報データベース(GeoDB)

GeoDB は、ルーティング可能な IP アドレスと関連付けられた地理的データ(国、都市、座標など)および接続関連のデータ(インターネット サービス プロバイダー、ドメイン名、接続タイプなど)のデータベースです。検出された IP アドレスと一致する GeoDB 情報が Firepower で検出された場合は、その IP アドレスに関連付けられている位置情報を表示できます。国や大陸以外の位置情報の詳細を表示するには、システムに GeoDB をインストールする必要があります。FMC Web インターフェイスから GeoDB を更新するには、[システム(System)] > [更新(Updates)] > [地理位置情報の更新(Geolocation Updates)] を使用し、次のいずれかの方法を選択します。

侵入ルール

新たな脆弱性が明らかになると、Cisco Talos Security Intelligence and Research Group(Talos)から侵入ルールの更新がリリースされます。これらの更アップデートを FMC にインポートして、変更後の設定を管理対象デバイスに導入することで、侵入ルールの更新を実装できます。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。FMC Web インターフェイスでは、侵入ルールを更新するための 3 つのアプローチが提供されており、すべて [システム(System)] > [更新(Updates)] > [ルールの更新(Rule Updates)] で使用できます。

また、[システム(System)] > [更新(Updates)] > [ルールの更新(Rule Updates)] を使用してローカル侵入ルールをインポートすることもできます。Snort ユーザ マニュアル(http://www.snort.org で入手可能)の指示に従って、ローカル侵入ルールを作成することができます。これらを FMC にインポートする前に、『Firepower Management Center Configuration Guide, Version 6.4』の「Guidelines for Importing Local Intrusion Rules」を参照して、ローカル侵入ルールのインポート手順が組織のセキュリティ ポリシーに準拠するようにしてください。

脆弱性データベース(VDB)

VDB は、ホストが影響を受ける可能性がある既知の脆弱性、およびオペレーティング システム、クライアント、アプリケーションのフィンガープリントを格納するデータベースです。システムでは、VDB を使用して、特定のホストで感染のリスクが高まるかどうかを判断します。FMC Web インターフェイスでは、VDB を更新するための 2 つのアプローチが提供されています。

  • [システム(System)] > [更新(Updates)] > [製品の更新(Product Updates)] を使用して、Firepower Management Center Configuration Guide, Version 6.4』の「Update the VulnerabilityDatabase (VDB) Manually」の手順に従います。

  • [システム(System)] > [ツール(Tools)] > [スケジューリング(Scheduling)] を使用し、『Firepower Management Center Configuration Guide, Version 6.4』の「Configuring a Recurring Task」の説明に従って、VDB の更新をダウンロードしてインストールするための定期的なタスクをスケジュールします。

CC または UCAPL モードの有効化

1 つの設定で複数の強化設定変更を適用するには、FTD の CC または UCAPL モードを選択します。この設定は、FMC Web インターフェイスの FTD プラットフォーム設定ポリシー([デバイス(Devices)] > [プラットフォーム設定(Platform Settings)])を使用して適用します。変更は、新しい設定を展開するまでは FTD で有効になりません。詳細については、『Firepower Management Center Configuration Guide, Version6.4』の「Enabling Security Certifications Compliance」を参照してください。

これらの設定オプションの 1 つを選択すると、『 Firepower Management Center Configuration Guide, Version 6.4 』の「セキュリティ認定準拠の特徴」に記載されている変更が有効になります。Firepower 環境内のアプライアンスはすべて、同じセキュリティ認定準拠モードで動作する必要があることに注意してください。


注意    

この設定を有効にした後は、無効にすることはできません。CC または UCAPL モードを有効にする前に、詳細について『Firepower Management Center Configuration Guide, Version 6.4』の「Security Certifications Compliance」で確認してください。この設定を元に戻す必要が生じた場合は、Cisco TAC にご連絡ください。



(注)  

セキュリティ認定準拠を有効にしても、選択したセキュリティ モードのすべての要件への厳密な準拠が保証されるわけではありません。このドキュメントでは、CC または UCAPL モードで提供されるものを超えて展開を強化するために推奨されるその他の設定について説明します。完全準拠に必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。


NetFlow によるトラフィックの可視性の向上

シスコの IOS NetFlow を使用すると、ネットワークのトラフィック フローをリアルタイムで監視できます。FTD デバイスは、ランタイム カウンタの表示やリセットなど、いくつかの NetFlow 機能と連携して機能できます(show flow-export counters および clear flow-export counters CLI コマンドを参照してください)。

FMC Web インターフェイスを使用して、NetFlow によってキャプチャされるものと同じ冗長な FTD syslog メッセージを無効にすることができます。それには、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]FTD プラットフォーム設定ポリシーを作成し、メニューから [Syslog] を選択します。[Syslog Settings(Syslog 設定)] タブで、[NetFlow と同等の Syslog(NetFlow Equivalent Syslogs)] チェックボックスをオンにします(冗長な Syslog メッセージを確認するには、show logging flow-export-syslogs CLI コマンドを使用します)。

NetFlow を使用してネットワーク デバイスを設定する場合は、これらの機能を利用できます。フロー情報がリモート コレクタにエクスポートされるかどうかに関係なく、必要に応じて NetFlow を受動的に使用できます。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Netflow Data in the Firepower System」を参照してください。

ローカル ネットワーク インフラストラクチャの保護

Firepower 環境では、さまざまな目的で他のネットワーク リソースとやり取りする場合があります。これらの他のサービスを強化することで、Firepower システムだけでなくネットワーク資産のすべてを保護できます。対処する必要があるすべてのものを特定するには、ネットワークとそのコンポーネント、資産、ファイアウォール設定、ポート設定、データ フロー、およびブリッジング ポイントを図式化することを試みてください。

セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立し、遵守します。

ネットワーク タイム プロトコル サーバの保護

Firepower を正常に動作させるには、FMC とその管理対象デバイスのシステム時刻を同期させることが不可欠です。セキュアで信頼された Network Time Protocol(NTP)サーバを使用して、 FMC とその管理対象デバイスのシステム時刻を同期させることを強く推奨します。

FMC Web インターフェイスから FTD デバイスの NTP 時刻同期を設定するには、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]FTD プラットフォーム設定ポリシーを作成し、ポリシー ページ内の [時刻同期(Time Synchronization)] タブを選択します。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Configure NTP Time Synchronization for Threat Defense」を参照してください。


注意    

FMC と管理対象デバイスの時刻が同期していないと、意図しない結果になることがあります。適切な同期を確保するため、FMC とそのすべての管理対象デバイスについて、同じ NTP サーバを使用するように設定してください。


ドメイン ネーム システム(DNS)の保護

ネットワーク環境で相互に通信しているコンピュータは、DNS プロトコルを利用して、IP アドレスとホスト名の間のマッピングを提供します。DNS の管理インターフェイスを介した通信をサポートするためにローカルのドメイン ネーム システムと接続するように FTD デバイスを設定することは、初期設定プロセスの一部となっており、ご使用のモデルのクイック スタート ガイドで説明しています。

データ インターフェイスまたは診断インターフェイスを使用する特定の FTD 機能も DNS を使用します。たとえば、NTP、アクセス コントロール ポリシー、FTD/ping/traceroute により提供される VPN サービスなどがあります。DNS をデータ インターフェイスまたは診断インターフェイス用に設定するには、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]FTD プラットフォーム設定ポリシーを作成し、目次から [DNS] を選択します。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』で「Platform Settings for Firepower Threat Defens」を参照してください。

DNS は、セキュリティを考慮して設定されていない DNS サーバの弱点を利用するようにカスタマイズされた、特定のタイプの攻撃の影響を受ける可能性があります。業界で推奨されているセキュリティのベスト プラクティスに従って、ローカル DNS サーバを設定してください。シスコでは http://www.cisco.com/c/en/us/about/security-center/dns-best-practices.html でガイドラインを提供しています。

セキュアな SNMP ポーリングおよびトラップ

CiscoFirepower Management Center Configuration Guide, Version 6.4』の「Configure SNMP for Threat Defense」で説明しているように、SNMP ポーリングおよびトラップをサポートするように FTD を設定できます。SNMP ポーリングを使用する場合は、SNMP 管理情報ベース(MIB)に、連絡先情報、管理情報、位置情報、サービス情報、IP アドレッシングおよびルーティング情報、伝送プロトコルの使用統計情報など、環境の攻撃に利用される可能性のあるシステムの詳細情報が含まれていることに注意する必要があります。SNMP に基づく脅威からシステムを保護するための設定オプションを選択します。

FTD デバイスの SNMP 機能を設定するには、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]FTD プラットフォーム設定ポリシーを作成し、目次から [SNMP] を選択します。詳細な手順については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Configure SNMP for Threat Defense」を参照してください。

FTD デバイスへの SNMP アクセスを強化するには、次のオプションを使用します。

  • SNMP ホストの作成時に SNMPv3 を選択します。これにより、AES128 と読み取り専用ユーザによる暗号化のみサポートされます(『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Add SNMP Hosts」を参照)。

  • 次のオプションを使用して SNMPv3 ユーザを作成します。

    • [セキュリティレベル(Security Level)]として [特権(Priv)] を選択します。

    • [暗号化パスワードタイプ(Encryption Password Type)] として [暗号化 (Encrypted)] を選択します。

    詳細な手順については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Add SNMPv3 Users」を参照してください。


重要

Firepower から SNMP サーバへのセキュアな接続を確立することはできますが、認証モジュールは FIPS に準拠していません。


セキュアなネットワーク アドレス変換(NAT)

通常、ネットワーク接続されたコンピュータは、ネットワーク トラフィック内の送信元 IP アドレスや宛先 IP アドレスを再割り当てするために、ネットワーク アドレス変換(NAT)を使用します。Firepower 環境を保護し、NAT に基づく悪用からネットワーク インフラストラクチャ全体を保護するため、業界のベスト プラクティスや NAT プロバイダーからの推奨事項に従って、ネットワーク内の NAT サービスを設定します。

NAT 環境で動作するように Firepower 環境を設定する方法については、『Firepower Management Center Configuration Guide, Version 6.4』の「NAT Environments」を参照してください。この情報は、環境を確立する際に次の 2 つの段階で使用します。

環境内にある FMC とその他のアプライアンスの保護

Firepower 環境には、FMC と、FMC によって管理されるセキュリティ デバイスが含まれており、それぞれが異なるアクセス手段を提供します。管理対象デバイスは FMC との間で情報を交換しますが、デバイスのセキュリティは環境全体のセキュリティにとって重要です。環境内にあるアプライアンスを分析して、ユーザ アクセスの保護や不要な通信ポートのクローズなど、必要に応じて強化の設定を適用してください。

ネットワーク プロトコル設定の強化

FTD デバイスは、いくつかのプロトコルを使用して他のネットワーク デバイスとやり取りできます。FTD デバイスや FTD が送受信するデータを保護するために、ネットワーク通信の設定を選択してください。

  • デフォルトでは、FTD デバイスは 1 つの IP パケットにつき最大 24 のフラグメントを許可し、最大 200 のフラグメントのリアセンブリ待ちを許可します。定期的にパケットをフラグメント化するアプリケーション(NFS over UDP など)がある場合は、ネットワーク上でフラグメントを許可する必要がある場合があります。ただし、フラグメント化されたパケットはサービス妨害(DoS)攻撃に利用されることが多いため、フラグメントを許可しないことを推奨します。FTD デバイスのフラグメント設定を行うには、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]FTD プラットフォーム設定ポリシーを作成し、目次から [フラグメント(Fragment)] を選択します。FTD デバイスによって処理されるネットワーク トラフィック内のフラグメントを禁止するには、[チェーン(フラグメント)(Chain (Fragment))] ] オプションを 1 に設定します。詳細な手順については、『Cisco Firepower Management Center Configuration Guide, Version6.4』の「Configure Fragment Handling」を参照してください。

  • FTD は、次の 2 種類のバーチャル プライベート ネットワーク(VPN)サービスを提供するように設定できます。

    • リモート アクセス バーチャル プライベート ネットワーク(RA VPN):RA VPN 接続を介してリモート クライアント間で送受信されるメッセージの送信を保護する場合、FTD は Transport Layer Security(TLS)または IPsec_IKEv2 を使用できます。『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「AnyConnect Licenses」に記載されている基準を満たしていない限り、FMC では RA VPN 設定を FTD に展開することはできません。

    • サイト間バーチャル プライベート ネットワーク:サイト間 VPN 接続を介してリモート ネットワーク間で送受信されるメッセージの送信を保護する場合、FTD では IPSEC_IKEv1 または IPSEC_IKEv2 を使用できます。デバイスのライセンスによっては、サイト間 VPN 送信に強力な暗号化を適用できる場合があります。強力な暗号化を備えたサイト間 VPN には特別なライセンスが必要であることに注意してください。『Cisco Firepower Management Center Configuration Guide, Version6.4』の「Licensing for Export-Controlled Functionality」を参照してください。

    これらのサービスを設定する場合は、『Cisco Firepower Management Center Configuration Guide, Version6.4』の「Firepower Threat Defense VPN」を参照してください。Firepower は、幅広い暗号化アルゴリズムとハッシュ アルゴリズムをサポートしており、Diffie-Hellman グループを選択できます。ただし、強固な暗号化はシステムのパフォーマンスを低下させる可能性があるため、効率を損なうことなく十分な保護を提供するセキュリティとパフォーマンスのバランスを見出す必要があります。使用可能なオプションと考慮すべき要因については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「How Secure Should a VPN Connection Be?」を参照してください。

  • Firepower Management Center によって管理されている FTD デバイスでは、FTD との HTTPS 接続は、トラブルシューティングの目的でパケット キャプチャ ファイルをダウンロードする場合にのみ使用できます。パケット キャプチャのダウンロードを許可する必要がある IP アドレスに対してのみ、HTTPS アクセスを許可するように FTD デバイスを設定してください。FMC Web インターフェイスでは、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]FTD プラットフォーム設定ポリシーを作成し、目次から [HTTP] を選択します。詳細な手順については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Configure HTTP」を参照してください。

  • デフォルトでは、FTD は IPv4 か IPv6 を使用して任意のインターフェイスで ICMP パケットを受信できます。ただし、2 つの例外があります。

    • FTD は、ブロードキャストアドレス宛ての ICMP エコー要求に応答しません。

    • FTD は、トラフィックが着信するインターフェイス宛ての ICMP トラフィックにのみ応答します。ICMP トラフィックは、FTD インターフェイス経由で離れたインターフェイスに送信できません。

    ICMP に基づく攻撃から FTD デバイスを保護するために、ICMP ルールを使用して、選択したホスト、ネットワーク、または ICMP タイプに ICMP アクセスを限定できます。FMC Web インターフェイスの [デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]FTD プラットフォーム設定ポリシーを作成し、目次から [ICMP] を選択します。詳細な手順については、『CiscoFirepower Management Center Configuration Guide, Version 6.4』の「Configure ICMP Access Rules」を参照してください。

  • FTD は、DHCP および DDNS サービスを提供するように設定できます(『CiscoFirepower Management Center Configuration Guide, Version 6.4』の「DHCP and DDNS Services for Threat Defense」を参照してください)。これらのプロトコルはその性質上、攻撃に対して脆弱です。FTD デバイスで DHCP または DDNS を設定する場合は、セキュリティに関する業界のベスト プラクティスを適用し、ネットワーク資産を物理的に保護する機能を用意し、FTD デバイスへのユーザ アクセスを強化することが重要です。

FTD ユーザ アクセスの強化

FTD は次の 2 種類のユーザをサポートしています。

  • 内部ユーザ:デバイスは、ローカル データベースでユーザ認証を確認します。

  • 外部ユーザ:ユーザがローカル データベースに存在しない場合、システムは外部 LDAP または RADIUS の認証サーバに問い合わせます。

ユーザ管理をネットワーク環境の既存のインフラストラクチャと統合したり、二要素認証などの機能を活用したりする目的で、LDAP や RADIUS などの外部認証メカニズムを使用したユーザ アクセスの確立を検討する場合があります。外部認証を確立するには、FMC Web インターフェイス内で外部認証オブジェクトを作成する必要があります。外部認証オブジェクトを共有して、FMC だけでなく FTD でも外部ユーザを認証できます。

外部認証を使用するには、環境用にドメイン ネーム サーバを設定する必要があることに注意してください。DNS の強化に関する推奨事項に必ず従ってください(「ドメイン ネーム システム(DNS)の保護」を参照してください)。

ここでのユーザ管理の説明では、Firepower バージョン6.4 で使用可能な機能を参照しています。この項で説明しているすべてのユーザ アカウント設定機能がすべての Firepower バージョンに適用されるわけではありません。システムに固有の情報については、ご使用のバージョンの Firepower のマニュアルを参照してください。

FMC によって管理される Firepower Threat Defense デバイスは、単一のユーザ アクセス手段としてコマンド ライン インターフェイスを提供します。物理デバイスの場合は、SSH、シリアル、またはキーボードとモニタの接続を使用してコマンド ライン インターフェイスにアクセスできます。特定の設定を適切に行うことで、これらのユーザは Linux シェルにもアクセスできます。

設定権限の制限

デフォルトでは、FTD デバイスは、すべての FTD CLI コマンドに対して完全な管理者権限を持つ、単一の「admin」ユーザを提供します。このユーザは、追加のアカウントを作成でき、 configure user access CLI コマンドを使用して、次の 2 つのレベルのアクセス権限のいずれかを付与できます。

  • Basic:ユーザは、システム設定に影響を与えない FTD CLI コマンドを使用できます。

  • Config:ユーザは、重要なシステム設定機能を提供するコマンドを含めて、すべての FTD CLI コマンドを使用できます。

アカウントに Config アクセス権を割り当てる場合や、Config アクセス権を持つアカウントへのアクセス権を付与するユーザを選択する場合は、慎重に検討してください。

Linux シェルへのアクセスの制限

FMC によって管理される FTD は、自身の管理インターフェイスを介して、SSH、シリアル、またはキーボードとモニタの接続を使用した CLI アクセスのみをサポートします。このアクセスは「admin」アカウント、内部ユーザが使用でき、外部ユーザにも使用を許可できます。

Config レベルのアクセス権を持つユーザは、CLI の expert コマンドを使用して Linux シェルにアクセスできます。


注意    

すべてのデバイスで、CLI の Config レベルのアクセス権または Linux シェルへのアクセス権を持つアカウントは、Linux シェルの sudoer 権限を取得できます。このため、セキュリティ上のリスクが生じる可能性があります。システムのセキュリティを強化するには、次のことを推奨します。

  • FTD デバイス上の外部認証されたアカウントへのアクセス権をユーザに付与する場合は、FTD デバイス上の外部認証されたすべてのアカウントが CLI Config レベルのアクセス権を持つことに注意してください。

  • 新しいアカウントを Linux シェルに直接追加しないでください。FTD デバイスで、configure user add CLI コマンドのみを使用して新しいアカウントを作成してください。

  • FTD の CLI コマンド configure ssh-access-list を使用して、FTD デバイスが自身の管理インターフェイス上で SSH 接続を受け入れる IP アドレスを制限してください。


管理者はまた、system lockdown-sensor CLI コマンドを使用して Linux シェルへのすべてのアクセスをブロックするように FTD を設定することもできます。システムのロックダウンが完了すると、FTD にログインしているユーザはすべて、FTD の CLI コマンドにのみアクセスできます。これは大きな強化措置となる可能性がありますが、Cisco TAC からのホットフィックスがないと元に戻すことができないため、使用にあたっては慎重に検討してください。

内部ユーザ アカウントの強化

個々の内部ユーザを設定する場合、Config アクセス権を持つユーザは configure user FTD CLI コマンドを使用することで、Web インターフェイスのログイン メカニズムを利用した攻撃に対してシステムの保護を強化できます。以下の設定を使用できます。

  • ログインの最大失敗回数を制限します(configure user maxfailedlogins)。この回数を超えるとユーザがロックアウトされ、管理者による再アクティブ化が必要になります。

  • パスワードの最小長さを適用します(configure user minpasswdlen)。

  • パスワードの有効日数を設定します(configure user aging)。

  • 強力なパスワードを必須にします(configure user strengthcheck)。

  • ユーザが必要とするアクセスのタイプにのみ適したユーザ アクセス権限を割り当てます(configure user access)。

  • 次回のログイン時にユーザにアカウント パスワードのリセットを強制します(configure user forcereset)。

Firepower 環境でマルチテナンシーを使用している場合は、FTD デバイスへのユーザ アクセスを許可するときに、そのデバイスが属するドメインについて考慮してください。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Domain Management」を参照してください。

外部ユーザ アカウントの強化

FTD のユーザ認証に外部サーバを使用する場合は、外部ユーザが常に Config 権限を持っていることに注意してください。他のユーザ ロールはサポートされていません。FMC Web インターフェイスの [デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] FTD プラットフォーム設定ポリシーを作成し、目次から [外部認証(External Authentication)] を選択して、FTD ユーザの外部認証を設定します。外部ユーザ アカウントを設定するには、外部認証オブジェクトを使用して LDAP または RADIUS サーバとの接続を確立する必要があります。詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Configure External Authentication for SSH」を参照してください。


重要

LDAP または RADIUS サーバとのセキュアな接続は Firepower からセットアップできますが、認証モジュールは FIPS に準拠していません。


  • すべての FTD 外部ユーザは Config アクセス権を持ち、system lockdown-sensor コマンドを使用して Linux シェルへのアクセスをブロックしない限り、これらのユーザは Linux シェルにアクセスできることに注意してください。Linux シェル ユーザは root 権限を取得できます。このため、セキュリティ上のリスクが生じます。

  • 外部認証に LDAP を使用する場合は、[拡張オプション(Advanced Options)] で TLS または SSL 暗号化を設定します。

セッション タイムアウトの確立

FTD への接続時間を制限すると、権限のないユーザが無人セッションを悪用する機会が減少します。

FTD デバイスでセッション タイムアウトを設定するには、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]FTD プラットフォーム設定ポリシーを作成し、目次から [タイムアウト(Timeouts)] を選択します。 詳細な手順については、『Firepower Management Center Configuration Guide, Version 6.4』の「Configure Global Timeouts」を参照してください。

FTD REST API の考慮事項

Firepower Threat Defense の REST API は、サードパーティ アプリケーションで REST クライアントおよび標準 HTTP メソッドを使用してアプライアンス設定を表示および管理するための軽量のインターフェイスを提供します。API については『Cisco Firepower Threat Defense REST API Guide』で説明しています。


重要

TLS を使用して FTDと REST API クライアント間でセキュアな接続を確立できますが、認証モジュールは FIPS に準拠していません。


バックアップの保護

システム データとその可用性を保護するため、FTD デバイスの定期的なバックアップを実行してください。バックアップ機能は FMC Web インターフェイスの [システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] に表示されます。詳細については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Backup Devices Remoely」を参照してください。保存されている FTD 設定を復元するには、FTD CLI restore コマンドを使用します。

FMC は、リモート デバイスにバックアップを自動的に保存する機能を備えています。強化システムでこの機能を使用することはお勧めできません。これは、FMC とリモート ストレージ デバイス間の接続を保護できないためです。

データのエクスポートの保護

FTD CLI は、特定のファイルを FTD からローカル コンピュータにダウンロードする機能を備えています。この機能は、システムのトラブルシューティング時に Cisco TAC に提供する情報を収集できるように提供されているものであり、必要な場合以外は使用しないでください。FTD からダウンロードするファイルを保護するための予防措置を講じてください。ダウンロード時は使用可能なオプションから最も安全なものを選択し、データの保存場所となるローカル コンピュータを保護してください。また、TAC にファイルを送信する際は使用可能なプロトコルから最も安全なものを使用してください。特に、次のコマンドを使用する場合に起こりうるリスクに注意してください。

  • show asp inspect-dp snort queue-exhaustion [snapshot snapshot_id] [export location]

    export オプションでは TFTP のみサポートされています。

  • file copy host_name user_id path filename_1 [filename_2 ... filename_n]

    このコマンドは、セキュリティで保護されていない FTP を使用してリモート ホストにファイルを転送します。

  • copy [/noverify] /noconfirm {/pcap capture:/[buffer_name] | src_url | running-config | startup-config} dest_url

    src_url および dest_url の次のオプションは、コピーされたデータを保護する方法を提供します。

    • 内部フラッシュ メモリ

    • システム メモリ

    • オプションの外部フラッシュ ドライブ

    • パスワードで保護された HTTPS

    • パスワードで保護された SCP(SCP サーバでターゲット インターフェイスを指定)

    • パスワードで保護された FTP

    • パスワードで保護された TFTP(TFTP サーバでターゲット インターフェイスを指定)

    強化システムでは、src_url および dest_url で次のオプションを使用しないことをお勧めします。

    • SMB UNIX サーバのローカル ファイル システム

    • クラスタ トレース ファイル システム(セキュリティ認定準拠が有効になっているシステムではクラスタはサポートされません)

  • cpu profile dump dest_url

    dest_url の次のオプションは、データ ダンプをセキュリティで保護する方法を提供します。

    • 内部フラッシュ メモリ

    • オプションの外部フラッシュ ドライブ

    • パスワードで保護された HTTPS

    • SMB UNIX サーバのローカル ファイル システム

    • パスワードで保護された SCP(SCP サーバでターゲット インターフェイスを指定)

    • パスワードで保護された FTP

    • パスワードで保護された TFTP(TFTP サーバでターゲット インターフェイスを指定)

    強化システムでは、src_url および dest_url のオプションでクラスタ ファイル システムを使用しないことをお勧めします。

  • file secure-copy host_name user_id path filename_1 [filename_2 ... filename_n]

    SCP を使用してリモート ホストにファイルをコピーします。

Secure Syslog

FTD は、syslog メッセージを外部の syslog サーバに送信できます。syslog 機能を設定する場合は、セキュアなオプションを選択します。

  1. [デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]FTD プラットフォーム設定ポリシーを作成し、目次から [syslog] を選択します。[syslog サーバ(Syslog Servers)] タブで syslog サーバを追加するときに、必ず TCP プロトコルを選択し、[セキュアな syslog を有効にする(Enable secure syslog)] チェック ボックスをオンにします。これらのオプションは、デバイス設定の別の場所で上書きしなければ、FTD によって生成される syslog メッセージに適用されます。


    (注)  

    デフォルトでは、セキュアな syslog が有効になっていると、TCP を使用する syslog サーバがダウンした場合に FTD はトラフィックを転送しません。この動作を無効にするには、[TCP syslog サーバがダウンした場合にユーザ トラフィックの通過を許可する(Allow user traffic to pass when TCP syslog server is down)] チェック ボックスをオンにします。


  2. プラットフォーム設定ポリシーからロギング設定を継承するように、アクセス コントロール ポリシーのロギングを設定します([Policies] > [Access Control] <各ポリシー> > [ロギング(Logging)] で、[FTD 6.3 以降:デバイスに展開した FTD プラットフォーム設定の syslog 設定を使用する(FTD 6.3 and later: Use the syslog settings configured in the FTD Platform Settings policy deployed on the device)]チェックボックスをオンにします)。

これら 2 つの設定を適用すると、FTD の syslog は次のように動作します。

  • プラットフォーム設定ポリシーの syslog 設定は、デバイスとシステムのヘルスに関連する syslog メッセージ、およびネットワーク設定に関連する syslog メッセージに適用されます。

  • プラットフォーム設定の syslog 設定は、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Configuration Locations for Syslogs for Configuration and Security Intelligence Events (All Devices)」に記載されているいずれかの場所でアクセス コントロール ポリシーの設定を「オーバーライドしない限り」、接続およびセキュリティ インテリジェンス イベントの syslog に適用されます。これらのオーバーライドではセキュアな syslog オプションは提供されないため、セキュアな環境での使用はお勧めできません。

  • プラットフォーム設定ポリシーの syslog 設定は、『Cisco Firepower Management Center Configuration Guide, Version6.4』の「Configuration Locations for Syslogs for Intrusion Events (FTD 6.3 Devices)」に記載されているいずれかの場所でアクセス コントロール ポリシーの設定を「オーバーライドしない限り」、侵入イベントの syslog に適用されます。これらのオーバーライドではセキュアな syslog オプションは提供されないため、セキュアな環境での使用はお勧めできません。

ログイン バナーのカスタマイズ

ユーザが CLI にログインするときにユーザに必要な情報を伝えるように、FTD デバイスを設定できます。セキュリティの観点から、ログイン バナーでは不正アクセスを防止する必要があります。次の例のようなテキストを考慮してください。

  • 安全なデバイスにログインしました。このデバイスにアクセスする権限を持っていない場合は、すぐにログアウトしないと犯罪と認識されるおそれがあります。

FTD デバイスのログイン バナーを設定するには、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)]FTD プラットフォーム設定ポリシー作成し、目次から [バナー(Banner)] を選択します。詳細な手順については、『Cisco Firepower Management Center Configuration Guide, Version 6.4』の「Configure Banners」を参照してください。

ネットワーク ユーザの権限のあるログイン、認識、および制御をサポートするサーバへのセキュアな接続

Firepower アイデンティティ ポリシーは、アイデンティティソースを使用してネットワーク ユーザを認証し、ユーザを認識し制御する目的でユーザ データを収集します。ユーザ アイデンティティ ソースを確立するには、 FMC または管理対象デバイスと、次のいずれかのタイプのサーバとの間の接続が必要です。

  • Microsoft Active Directory

  • Linux OpenLDAP

  • RADIUS


重要

LDAP、Microsoft AD、または RADIUS サーバへのセキュアな接続を Firepower から設定できますが、認証モジュールは FIPS に準拠していません。



(注)  

外部認証に LDAP または Microsoft AD を使用する場合は、「外部ユーザ アカウントの強化」の情報を確認してください。



(注)  

Firepower はこれらの各サーバを使用して、ユーザ アイデンティティ機能の候補のさまざまな組み合わせをサポートします。詳細については、『Firepower Management Center Configuration Guide, Version6.4』の「About User Identity Sources」を参照してください。


Active Directory サーバおよび LDAP サーバとの接続の保護:

Firepower には「レルム」と呼ばれるオブジェクトがあります。レルムは、Active Directory サーバまたは LDAP サーバ上のドメインに関連付けられている接続設定を記述するものです。レルムの設定の詳細については、『Firepower Management Center Configuration Guide, Version 6.4』の「Create and Manage Realms」を参照してください。

FMC Web インターフェイスの [システム(System)] > [統合(Integration)] > [レルム(Realms)] でレルムを作成する場合は、AD サーバまたは LDAP サーバとの接続を保護するため、次の点に注意してください。

Active Directory サーバに関連付けられるレルムの場合:

  • [AD 参加パスワード(AD Join Password)] と [ディレクトリ パスワード(Directory Password)] で強力なパスワードを選択します。

  • Active Directory レルムにディレクトリを追加する際に次のようにします。

    • [暗号化(Encryption)] モードとして [STARTTLS] または [LDAPS] を選択します([なし(None)] は選択しないでください)。

    • Active Directory ドメイン コントローラへの認証に使用する [SSL 証明書(SSL Certificate)] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

LDAP サーバに関連付けられるレルムの場合:

  • [ディレクトリ パスワード(Directory Password)] で強力なパスワードを選択します。

  • LDAP レルムにディレクトリを追加する際に次のようにします。

    • [暗号化(Encryption)] モードとして [STARTTLS] または [LDAPS] を選択します([なし(None)] は選択しないでください)。

    • LDAP サーバへの認証に使用する [SSL 証明書(SSL Certificate)] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

RADIUS サーバとの接続の保護:

RADIUS サーバとの接続を設定するには、FMC Web インターフェイスの [オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [RADIUS サーバ グループ(RADIUS Server Group)] で RADIUS サーバ グループ オブジェクトを作成し、そのグループに RADIUS サーバを追加します。RADIUS サーバとの接続を保護するには、[新しい RADIUS サーバ(New RADIUS Server)] ダイアログで次のオプションを選択します。

  • 管理対象デバイスと RADIUS サーバ間でデータを暗号化するための [キー(Key)] と [キーの確認(Confirm Key)] を指定します。

  • セキュアなデータ送信をサポートできる接続用のインターフェイスを指定します。


(注)  

Firepower は、リモート アクセス VPN(ユーザ アイデンティティ ソースとして使用されます)を提供するように環境内の管理対象 FTD デバイスが設定されている場合にのみ、ユーザ アイデンティティのために RADIUS サーバと接続します。リモート アクセス VPN の設定と保護の詳細については、「ネットワーク プロトコル設定の強化」を参照してください。


サポート コンポーネントの強化

FTD ソフトウェアは、基盤となる複雑なファームウェアとオペレーティング システム ソフトウェアに依存しています。これらの基盤となるソフトウェア コンポーネントには独自のセキュリティ リスクが潜んでおり、対処する必要があります。

  • セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立してください。

  • FTD モデル 2100、4100、および 9300 デバイスでは、FTD を実行する Firepower Extensible Operating System を保護してください。『CiscoFirepower 4100/9300 FXOS Hardening Guide』を参照してください。