ASA 5506-X 統合セキュリティアプライアンス セットアップガイド

Slides:



Advertisements
Similar presentations
WINDOWS AZURE上での ACTIVE DIRECTORY構築入門 Windows Azure ハンズオン トレーニング.
Advertisements

©2014 Check Point Software Technologies Ltd. 1 ©2014 Check Point Software Technologies Ltd AWS R77.30 セットアップガイド [Restricted] ONLY for designated groups.
CCP Express 3.1 簡単設定ガイド ※本資料は 2015/06 現在のハードウェア / ソフトウェアにおけるガイドです.
Raritan, Inc. - Proprietary Power IQ(free trial)のSetup Basic Setup & Installation Power IQ(free trial)のSetup ► Power IQのfree trial版(VM Player版)をダウンロード.
この部分こそが必 要とされている ! Runtime 自身と Expression が カバーする!
1 ルータ・スイッチ 基礎教育 (基礎編). 2 Agenda ~基礎編~ シスコ機器との接続方法 IOS とメモリの種類 ルータの起動順序 IOS のアクセスレベル パスワードの設定 インターフェースの設定 show コマンド copy コマンド debug コマンド CDP ( Cisco Discovery.
Windows Azure ハンズオン トレーニング Windows Azure Web サイト入門.
目次 このドキュメントについて・・・前提条件……………………………………… 2
ネットワークからみるPCC 寺内康之.
BBT大学 Ruby on Rails開発環境セットアップマニュアル
7-1.WEKOコンテンツ 一括登録 マニュアル Version2.5
vThunder(旧SoftAX) Getting Start Guide
4.ユーザー登録マニュアル              Version 年6月10日 国立情報学研究所.
スクリーンショットの取り方 コラボエンドポイントスクリーンショットの取得 シスコシステムズ合同会社 テクニカルソリューションズアーキテクト
揮発性情報 2003/05/25 伊原 秀明(Port139).
CCP Express 3.1 リカバリ&初期化ガイド
.NET テクノロジー を利用した SAP ソリューションの拡張 (3階層化) (評価環境構築ガイド)
実習用サーバの利用開始手順 (Windowsの場合) TeraTerm Proをインストール 公開鍵をメールで送付
3/4/ :37 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
CCP Express 3.1 初期設定ガイド(WAN/LAN)
SharePoint Server において 構成ウィザードが失敗する場合の トラブルシューティング
ネットワーク構成法 スケール 第6回 11月19日.
目次 NetViewの起動……………………………………………………………… 4
PuTTYとパスワード変更 文責:亀 彩.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
Al-Mailのインストールと使い方 インストール –1 (pop-authの設定、Al-Mailのインストール用ファイルをダウンロード)
Telnet, rlogin などの仮想端末 ftp などのファイル転送 rpc, nfs
Windows Summit /8/2017 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
ファイアウォール 基礎教育 (1日目).
CCP Express 3.5 アップグレードガイド
Cisco dCloud dCloudのサポートについて シスコシステムズ合同会社 2016年7月.
Provisioning on Multiple Network(NIC) env
就業時間にのみ、LANポートを使用可能な状態にします
.NET テクノロジー を利用した SAP ソリューションの拡張 (3階層化) (評価環境構築ガイド)
ファイアウォール 基礎教育 (2日目).
ASA 新旧NAT詳解 (software ver 8.2 / 8.3)
Microsoft Partner Network Office 365 社内使用ライセンスの有効化
インターネット接続制御アプライアンス ~ 製品説明 ~ 2013年06月 アイビーソリューション株式会社 Ver
Cisco Start – Cisco Mobility Express バンドル コントローラ簡単初期設定ガイド (設定例) 〜WLAN Express Setup (sample)〜 シスコシステムズ合同会社 2015年12月.
Cisco Catalyst 2960L Bluetooth コンソール接続手順
Cisco Startシリーズ 製品概要 ルータ編 (Cisco841M)
Aptana Studio 3 に Android ADT プラグインを インストールする方法
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
Cisco クラウドWEBセキュリティ CWS(ScanCenter)簡易設定ガイド
WLC HA-SKU解説と設定 シスコシステムズ合同会社 上岡 昌人 2014/03/7.
New accessory hardware Global Platform Division
08年度授業補助TA ジュン ネットワーク設計演習Ⅱ 実機演習まとめ.
Ciscoルータ設定入門 小林 稔幸.
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
Cisco dCloud dCloud登録ルータ配下からのvWLCへのAP接続 シスコシステムズ合同会社 2016年7月.
CCP Express 3.3 アップグレード ガイド
Cisco Umbrella のご紹介 2018 年 1 月.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
Windows Summit /22/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
Cisco dCloud dCloudへのルータの登録について シスコシステムズ合同会社 2016年7月.
gate-toroku-system のしくみ
Windows Summit /24/2019 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be.
~ 第5回 認証のためのプロキシー Web Application Proxy
ネットワークプログラミング (3回目) 05A1302 円田 優輝.
7-0.SWORD Client for WEKO インストールマニュアル Version 2.2
Cisco Configuration Professional Express 3.3 アップデート
Service Access Management Tool
IBM UTM監視サービス セキュリティー運用監視のアウトソーシングで、業務効率化&コスト削減
gate登録システム: 設計ポリシーから使い方まで
OSの再インストールや、バックアップからのリストア
CO-Client Opeartion 1.1 利用履歴データベースの設計 (スキーマ バージョン 対応)
gate-toroku-system のしくみ
アプリケーションゲートウェイ実験 2001.10.5 鬼塚 優.
Cisco Umbrella セミナー 第4回 Umbrella 設定概要.
Firepower Threat Defense セットアップガイド
Presentation transcript:

ASA 5506-X 統合セキュリティアプライアンス セットアップガイド シスコシステムズ合同会社 2015年5月18日(第一版)

はじめに 本ガイドでは、ASA 5506-X with FirePOWER Servicesを導入する際の初期セットアップ方 法、および付加機能(侵入検知、マルウェア対策, アプリケーションフィルタ、URLフィルタ)の 設定方法をステップバイステップで解説しています。 管理ツールは、無償で提供されるCisco ASDMを使用しています。FireSIGHT Management Centerを使用する場合の設定方法は対象外です。 各機能の詳細説明は割愛し、設定内容はベーシックな導入パターンを想定した設定サンプル を使用しています。各機能についての詳細や設定のカスタマイズ方法は本資料ではカバーし ておりません。 本資料は2015年5月 (ASA Version 9.3.1 および FirePOWER Services Module 5.4) 時点 の情報に基づいています。内容は通知なく変更される可能性があります。

セットアップ手順 機器の接続 初期設定 ライセンス適用 検査対象トラフィックの設定 マルウェア対策 ポリシー設定(脅威対策 / ロギング) 0. 導入構成の検討 機器の接続 初期設定 ライセンス適用 検査対象トラフィックの設定 マルウェア対策 ポリシー設定(脅威対策 / ロギング) ポリシー設定(コンテンツ制御) データベース更新 モニタリング

0. 導入構成の検討 L2構成の場合 < 設定が必要な項目 > 社内LAN 管理用端末 L2スイッチ Inside 兼 ASA管理IPアドレス 管理用端末 外部接続 IPアドレス 社内LAN DNS / NTPサーバ L2スイッチ Inside Outside インターネット 管理ポート FirePOWERモジュール 管理IPアドレス

ASAから見た管理用VLANへのゲートウェイ 0. 導入構成の検討 < 設定が必要な項目 > L3構成の場合 ASAから見た管理用VLANへのゲートウェイ 管理用端末 外部接続 IPアドレス 社内LAN L3スイッチ DNS / NTPサーバ Inside Outside インターネット 管理ポート 管理用LAN ASA 管理IPアドレス FirePOWERモジュール デフォルトゲートウェイ FirePOWERモジュール 管理IPアドレス ※ ※ASA経由でインターネット接続が必要

1. 機器の接続 社内ネットワーク 外部接続 (管理用ネットワーク) 社内ネットワーク 管理用端末 ASAコンソールに管理用端末を接続し、コマンドライン インターフェイス(CLI)を起動する interactive promptsは利用せず、configurationモード に進む(次頁へ) 外部接続 Pre-configure Firewall now through interactive prompts [yes]? no Type help or '?' for a list of available commands. ciscoasa> ciscoasa> enable Password: <Enter> ciscoasa# configure terminal ciscoasa(config)# Would you like to enable anonymous error reporting to help improve the product? [Y]es, [N]o, [A]sk later: <任意> 社内ネットワーク 管理用端末 ※ interactive prompt を使用すると、対話式のCLIプロンプトで簡単に初期設定を完了することができます。本ガイドでは、0.導入構成のインターフェイス設定を一括で実施するために、通常コマンドを利用します。

2. 初期設定 ASA Configurationモードで、0. 導入構成で準備した値を参照し、下記設定を入力(ペースト)する interface GigabitEthernet1/1 nameif outside security-level 0 ip address <外部接続用 ASA IPアドレス> <ネットワークマスク> no shutdown interface GigabitEthernet1/2 nameif inside security-level 100 ip address <社内接続用 ASA IPアドレス> <ネットワークマスク> clear configure interface Management 1/1 interface Management 1/1 http server enable http <ASDM利用を許可したいIPアドレスもしくはサブネット> <ネットワークマスク> inside route outside 0.0.0.0 0.0.0.0 <外部デフォルトゲートウェイ> ntp server <NTPサーバIPアドレス> # もしくは clock set hh:mm:ss <Day> <Month> <Year> による手動設定 clock timezone JST +9 ← モジュールへのトラフィック転送設定: スキップし、GUIからの設定も可能   (4. 検査対象トラフィックの設定より) policy-map global_policy class class-default sfr fail-open

2. 初期設定 FirePOWERモジュール 続いて、FirePOWERモジュールにログインし、対話式のセットアップを実施 ciscoasa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. Cisco ASA5506 v5.4.1 (build 170) Sourcefire3D login: admin Password: Sourcefire Copyright 2004-2015, Cisco and/or its affiliates. All rights reserved. Cisco is a registered trademark of Cisco Systems, Inc. All other trademarks are property of their respective owners. Cisco Linux OS v5.4.1 (build 9) You must accept the EULA to continue. Press <ENTER> to display the EULA: END USER LICENSE AGREEMENT IMPORTANT: PLEASE READ THIS END USER LICENSE AGREEMENT CAREFULLY. IT IS VERY IMPORTANT THAT YOU CHECK THAT YOU ARE PURCHASING CISCO SOFTWARE OR EQUIPMENT FROM AN APPROVED (略) Please enter 'YES' or press <ENTER> to AGREE to the EULA: YES System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <任意のパスワード> Confirm new password: <任意のパスワード> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: n Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]: <FP 管理IPアドレス>  Enter an IPv4 netmask for the management interface [255.255.255.0]: <ネットワークマスク> Enter the IPv4 default gateway for the management interface []: <FP ゲートウェイ IPアドレス> ※P.4のL2構成時はASAの社内接続用IPアドレス Enter a fully qualified hostname for this system [Sourcefire3D]: Enter a comma-separated list of DNS servers or ‘none’ []: <DNSサーバIPアドレス> Enter a comma-separated list of search domains or ‘none’ [example.net]: <ドメイン名> If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' Applying 'Default Allow All Traffic' access control policy. You can register the sensor to a Defense Center and use the Defense Center to manage it. Note that registering the sensor to a Defense Center disables on-sensor FirePOWER Services management capabilities. (略) >

2. 初期設定 管理端末から、Webブラウザで https://<ASA管理IPアドレス> にアクセスし、Install ASDM Launcherをクリック ※ Username / Password は未設定のため空のまま進む Wizardに従いラウンチャを管理端末にインストール

2. 初期設定 ラウンチャを起動し、以下の情報を入力してOKをクリック Homeページが表示される Device IP Address : ASA管理IPアドレス Username, Password : 空のまま(未設定) Homeページが表示される FirePOWERモジュールへの接続エラーが表示された場合は、2.初期設定 FirePOWERモジュール設定を確認する

2. 初期設定 – オプション ツールバーから Widzards > Setup Widzard を選択 (Step1) Modify existing configurationをチェック

2. 初期設定 – オプション (Step1) ホスト名・ドメイン名およびEnableパスワードを設定 ※CLIから設定済みのため変更がなければNextをクリックして進む

2. 初期設定 – オプション (Step6) 内部ネットワークへのDHCPサーバ機能の設定 (Step7) NAT機能利用の設定 社内プライベートアドレスを、ASAの外部接続IPアドレスに変換して利用する場合: “Use Port Address Translation (PAT)” および “Use the IP address on the GigabitEthernet 1/1 interface” を選択

2. 初期設定 – オプション (Step8-9) ASDM管理およびFirePOWER管理IPを設定 ※CLIから設定済みのため変更がなければNextをクリックして進む Next> を選択して最後まで進み、Config確認後Finishをクリック

3. ライセンス適用 <参考>ライセンス取得方法 3. ライセンス適用 Configuration > ASA FirePOWER Configuration > Licenses を選択 Add New Licenses をクリック 表示されるLicense Keyに紐づくLicenseを取得 ペースト後Submit Licenseをクリック <参考>ライセンス取得方法 ASDM上でLicense Keyを取得する http://www.cisco.com/go/license から購入したPAKを登録し、License Keyと紐づける 生成されたLicense KeyをコピーしてASDMのLicenseフィールドにペーストする Submit Licenseをクリックして適用

4. 検査対象トラフィックの設定 Configuration > Firewall > Service Policy Rulesに移動し、Add Service Policy Rule… を選択 Globalにチェックを入れたままNextをクリック

4. 検査対象トラフィックの設定 Use class-default as the traffic class を選択し、Nextをクリック Enable ASA FirePOWER for the traffic class にチェックを入れ、Permit traffic / Close trafficを選択後、Finishをクリック FirePOWERモジュール障害時の挙動 Permit traffic : 検査なしで通過させる Close traffic : 対象トラフィックを通過させない

5. マルウェア対策 Configuration > ASA FirePOWER Configuration > Policies > Files を選択 任意のポリシー名を入力し、Store ASA FirePOWER Changes をクリック New File Policyをクリック Add New Rule をクリック

5. マルウェア対策 検査対象の通信を下記から選択 Actionを下記から選択 プロトコル: Any, HTTP,SMTP,IMAP,POP3,FTP,SMB 方向: Any, Upload, Download Actionを下記から選択 Detect Files, Block Files, Malware Cloud Lookup, Block Malware ※設定項目の説明は次頁に記載 File Type Categories および File Typeで検査対象ファイルを選択し、Addをクリックして選択 (Selected File Categories and Typesの表示を確認) Store ASA FirePOWER Changes をクリックして保存

5. マルウェア対策 設定完了後、Store ASA FirePOWER Changes をクリックして保存 File Policy アクション File Typeと基本設定 マルウェアの形式として一般的なファイルタイプ (Executables 等) を選択し、ActionでBlock Malwareを指定 Detect Files 設定したTypeのFIleを検知 Block Files 設定したTypeのFileを検出してブロック Malware Cloud Lookup 設定したTypeのFileに対してマルウェア検査を実施 Block Malware 設定したTypeのFileに対してマルウェア検査を実施し、ブロック 注) ここまでの設定ではFile Policy設定は機器に適用されていません。 必ず6.ポリシー設定(脅威対策 / モニタリング)を完了してください。

6. ポリシー設定(脅威対策 / ロギング) Configuration > ASA FirePOWER Configuration > Policies > Access Control Policy を選択 デフォルトポリシーのペンマークをクリック Add Rulesをクリック

6. ポリシー設定(脅威対策 / ロギング) 任意のRule名を入力し、ActionでAllowを選択 Inspection タブをクリックし、使用するポリシーを指定 Intrusion Policy : Connectivity Over Security File Policy : <4-1で作成したPolicy>

6. ポリシー設定(脅威対策 / ロギング) Logging タブをクリックし、イベントログの生成タイミングおよび出力方法を指定 インシデント発生時のみとしたい場合は、”No Logging at Connection” を選択。通常通信もモニタリングしたい場合は、 ”Log at Bigining and End of Connection” もしくは ”Log at End of Connection” を選択。 Logging出力先 デフォルトはASDM上のEvent Viewer(リアルタイムモニタリング)のみ SyslogもしくはSNMP Trapによる外部出力が可能 Store ASA FirePOWER Changes をクリック

6. ポリシー設定(脅威対策 / モニタリング) Apply Allをクリックして設定を反映 Store ASA FirePOWER Changesをクリックして設定保存後、Apply ASA FirePOWER Changesをクリック

7. ポリシー設定(コンテンツ制御) Configuration > ASA FirePOWER Configuration > Policies > Access Control Policy を選択 デフォルトポリシーのペンマークをクリック Add Rulesをクリック

7. ポリシー設定(コンテンツ制御) 例. 特定アプリケーションの利用を禁止したい 適切なRule Nameを入力し、ActionをBlockに変更 Insert項目を”above rule” に変更 注) “below rule” のまま 6.ポリシー設定の下に挿入すると機能しない Applicationsタブを選択 ブロック対象アプリケーションを検索して選択後、 ”Add to Rule”をクリック 設定完了の場合、Addをクリックして追加 ※URL制御を実施したい場合そのまま次頁に進む

7. ポリシー設定(コンテンツ制御) 例. URLカテゴリ・レピュテーションベースの通信制御を実施したい 適切なRule Nameを入力し、ActionをBlockに変更 ※前頁で設定済みの場合は設定済み Insert項目を”above rule” に変更 ※前頁で設定済みの場合は設定済み 注) “below rule” のまま 6.ポリシー設定の下に挿入すると機能しない URLsタブを選択 ブロック対象のWebカテゴリもしくはレピュテーションレベルを検索して選択後、 ”Add to Rule”をクリック Addをクリックして追加

7. ポリシー設定(コンテンツ制御) Apply Allをクリックして設定を反映 Store ASA FirePOWER Changesをクリックして設定保存後、Apply ASA FirePOWER Changesをクリック

8. データベース更新 Configuration > ASA FirePOWER Configuration > Updates を選択 “Download new rule updates from the Support Site” を選択し、Importをクリック ※ 設定を再適用したい場合はチェックボックスを選択 定期的な自動アップデートを行う場合は、アップデート時刻を指定してSave ※ 設定を再適用したい場合はチェックボックスを選択

8. データベース更新 Configuration > ASA FirePOWER Configuration > Updates を選択 “Download and install geolocation updates from the Support Site” を選択し、Importをクリック 定期的な自動アップデートを行う場合は、アップデート時刻を指定してSave

9. モニタリング Home > ASA FirePOWER Reporting 項目を選択 タイムレンジを選択

イベントを選択し、”View Details” をクリック 9. モニタリング Monitoring > ASA FirePOWER Monitoring > Real Time Eventing タブを切り替えて項目を選択 イベント表示のリフレッシュ間隔を選択 イベントを選択し、”View Details” をクリック 詳細イベントログを確認