ASA 5506-X 統合セキュリティアプライアンス セットアップガイド

Presentation on theme: "ASA 5506-X 統合セキュリティアプライアンス セットアップガイド"— Presentation transcript:

1 ASA 5506-X 統合セキュリティアプライアンス セットアップガイド
シスコシステムズ合同会社 2015年5月18日（第一版）

2 はじめに 本ガイドでは、ASA 5506-X with FirePOWER Servicesを導入する際の初期セットアップ方 法、および付加機能（侵入検知、マルウェア対策, アプリケーションフィルタ、URLフィルタ）の 設定方法をステップバイステップで解説しています。 管理ツールは、無償で提供されるCisco ASDMを使用しています。FireSIGHT Management Centerを使用する場合の設定方法は対象外です。 各機能の詳細説明は割愛し、設定内容はベーシックな導入パターンを想定した設定サンプル を使用しています。各機能についての詳細や設定のカスタマイズ方法は本資料ではカバーし ておりません。 本資料は2015年5月 (ASA Version および FirePOWER Services Module 5.4) 時点 の情報に基づいています。内容は通知なく変更される可能性があります。

3 セットアップ手順 機器の接続 初期設定 ライセンス適用 検査対象トラフィックの設定 マルウェア対策 ポリシー設定（脅威対策 / ロギング）
導入構成の検討 機器の接続 初期設定 ライセンス適用 検査対象トラフィックの設定 マルウェア対策 ポリシー設定（脅威対策 / ロギング） ポリシー設定（コンテンツ制御） データベース更新 モニタリング

4 0. 導入構成の検討 L2構成の場合 < 設定が必要な項目 > 社内LAN 管理用端末 L2スイッチ Inside
兼 ASA管理IPアドレス 管理用端末 外部接続 IPアドレス 社内LAN DNS / NTPサーバ L2スイッチ Inside Outside インターネット 管理ポート FirePOWERモジュール 管理IPアドレス

5 ASAから見た管理用VLANへのゲートウェイ
0. 導入構成の検討 < 設定が必要な項目 > L3構成の場合 ASAから見た管理用VLANへのゲートウェイ 管理用端末 外部接続 IPアドレス 社内LAN L3スイッチ DNS / NTPサーバ Inside Outside インターネット 管理ポート 管理用LAN ASA 管理IPアドレス FirePOWERモジュール デフォルトゲートウェイ FirePOWERモジュール 管理IPアドレス ※ ※ASA経由でインターネット接続が必要

6 1. 機器の接続 社内ネットワーク 外部接続 （管理用ネットワーク） 社内ネットワーク 管理用端末
ASAコンソールに管理用端末を接続し、コマンドライン インターフェイス（CLI）を起動する interactive promptsは利用せず、configurationモード に進む（次頁へ） 外部接続 Pre-configure Firewall now through interactive prompts [yes]? no Type help or '?' for a list of available commands. ciscoasa> ciscoasa> enable Password: <Enter> ciscoasa# configure terminal ciscoasa(config)# Would you like to enable anonymous error reporting to help improve the product? [Y]es, [N]o, [A]sk later: <任意> 社内ネットワーク 管理用端末 ※ interactive prompt を使用すると、対話式のCLIプロンプトで簡単に初期設定を完了することができます。本ガイドでは、0.導入構成のインターフェイス設定を一括で実施するために、通常コマンドを利用します。

7 2. 初期設定 ASA Configurationモードで、0. 導入構成で準備した値を参照し、下記設定を入力（ペースト）する
interface GigabitEthernet1/1 nameif outside security-level 0 ip address <外部接続用 ASA IPアドレス> <ネットワークマスク> no shutdown interface GigabitEthernet1/2 nameif inside security-level 100 ip address <社内接続用 ASA IPアドレス> <ネットワークマスク> clear configure interface Management 1/1 interface Management 1/1 http server enable http <ASDM利用を許可したいIPアドレスもしくはサブネット> <ネットワークマスク> inside route outside <外部デフォルトゲートウェイ> ntp server <NTPサーバIPアドレス> # もしくは clock set hh:mm:ss <Day> <Month> <Year> による手動設定 clock timezone JST +9 ← モジュールへのトラフィック転送設定： スキップし、GUIからの設定も可能 　　(4. 検査対象トラフィックの設定より) policy-map global_policy class class-default sfr fail-open

8 2. 初期設定 FirePOWERモジュール 続いて、FirePOWERモジュールにログインし、対話式のセットアップを実施
ciscoasa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. Cisco ASA5506 v5.4.1 (build 170) Sourcefire3D login: admin Password: Sourcefire Copyright , Cisco and/or its affiliates. All rights reserved. Cisco is a registered trademark of Cisco Systems, Inc. All other trademarks are property of their respective owners. Cisco Linux OS v5.4.1 (build 9) You must accept the EULA to continue. Press <ENTER> to display the EULA: END USER LICENSE AGREEMENT IMPORTANT: PLEASE READ THIS END USER LICENSE AGREEMENT CAREFULLY. IT IS VERY IMPORTANT THAT YOU CHECK THAT YOU ARE PURCHASING CISCO SOFTWARE OR EQUIPMENT FROM AN APPROVED (略) Please enter 'YES' or press <ENTER> to AGREE to the EULA: YES System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <任意のパスワード> Confirm new password: <任意のパスワード> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: n Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [ ]: <FP 管理IPアドレス>　 Enter an IPv4 netmask for the management interface [ ]: <ネットワークマスク> Enter the IPv4 default gateway for the management interface []: <FP ゲートウェイ IPアドレス>　※P.4のL2構成時はASAの社内接続用IPアドレス Enter a fully qualified hostname for this system [Sourcefire3D]: Enter a comma-separated list of DNS servers or ‘none’ []: <DNSサーバIPアドレス> Enter a comma-separated list of search domains or ‘none’ [example.net]: <ドメイン名> If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' Applying 'Default Allow All Traffic' access control policy. You can register the sensor to a Defense Center and use the Defense Center to manage it. Note that registering the sensor to a Defense Center disables on-sensor FirePOWER Services management capabilities. (略) >

9 2. 初期設定 管理端末から、Webブラウザで にアクセスし、Install ASDM Launcherをクリック ※ Username / Password は未設定のため空のまま進む Wizardに従いラウンチャを管理端末にインストール

10 2. 初期設定 ラウンチャを起動し、以下の情報を入力してOKをクリック Homeページが表示される
Device IP Address : ASA管理IPアドレス Username, Password : 空のまま（未設定） Homeページが表示される FirePOWERモジュールへの接続エラーが表示された場合は、2.初期設定 FirePOWERモジュール設定を確認する

11 2. 初期設定 – オプション ツールバーから Widzards > Setup Widzard を選択
(Step1) Modify existing configurationをチェック

12 2. 初期設定 – オプション (Step1) ホスト名・ドメイン名およびEnableパスワードを設定
※CLIから設定済みのため変更がなければNextをクリックして進む

13 2. 初期設定 – オプション (Step6) 内部ネットワークへのDHCPサーバ機能の設定 (Step7) NAT機能利用の設定
社内プライベートアドレスを、ASAの外部接続IPアドレスに変換して利用する場合： “Use Port Address Translation (PAT)” および “Use the IP address on the GigabitEthernet 1/1 interface” を選択

14 2. 初期設定 – オプション (Step8-9) ASDM管理およびFirePOWER管理IPを設定
※CLIから設定済みのため変更がなければNextをクリックして進む Next> を選択して最後まで進み、Config確認後Finishをクリック

15 3. ライセンス適用 ＜参考＞ライセンス取得方法
3. ライセンス適用 Configuration > ASA FirePOWER Configuration > Licenses を選択 Add New Licenses をクリック 表示されるLicense Keyに紐づくLicenseを取得 ペースト後Submit Licenseをクリック ＜参考＞ライセンス取得方法 ASDM上でLicense Keyを取得する から購入したPAKを登録し、License Keyと紐づける 生成されたLicense KeyをコピーしてASDMのLicenseフィールドにペーストする Submit Licenseをクリックして適用

16 4. 検査対象トラフィックの設定 Configuration > Firewall > Service Policy Rulesに移動し、Add Service Policy Rule… を選択 Globalにチェックを入れたままNextをクリック

17 4. 検査対象トラフィックの設定 Use class-default as the traffic class を選択し、Nextをクリック
Enable ASA FirePOWER for the traffic class にチェックを入れ、Permit traffic / Close trafficを選択後、Finishをクリック FirePOWERモジュール障害時の挙動 Permit traffic : 検査なしで通過させる Close traffic : 対象トラフィックを通過させない

18 5. マルウェア対策 Configuration > ASA FirePOWER Configuration > Policies > Files を選択 任意のポリシー名を入力し、Store ASA FirePOWER Changes をクリック New File Policyをクリック Add New Rule をクリック

19 5. マルウェア対策 検査対象の通信を下記から選択 Actionを下記から選択
プロトコル： Any, HTTP,SMTP,IMAP,POP3,FTP,SMB 方向： Any, Upload, Download Actionを下記から選択 Detect Files, Block Files, Malware Cloud Lookup, Block Malware ※設定項目の説明は次頁に記載 File Type Categories および File Typeで検査対象ファイルを選択し、Addをクリックして選択 （Selected File Categories and Typesの表示を確認） Store ASA FirePOWER Changes をクリックして保存

20 5. マルウェア対策 設定完了後、Store ASA FirePOWER Changes をクリックして保存
File Policy アクション File Typeと基本設定 マルウェアの形式として一般的なファイルタイプ (Executables 等) を選択し、ActionでBlock Malwareを指定 Detect Files 設定したTypeのFIleを検知 Block Files 設定したTypeのFileを検出してブロック Malware Cloud Lookup 設定したTypeのFileに対してマルウェア検査を実施 Block Malware 設定したTypeのFileに対してマルウェア検査を実施し、ブロック 注） ここまでの設定ではFile Policy設定は機器に適用されていません。 必ず6.ポリシー設定（脅威対策 / モニタリング）を完了してください。

21 6. ポリシー設定（脅威対策 / ロギング） Configuration > ASA FirePOWER Configuration > Policies > Access Control Policy を選択 デフォルトポリシーのペンマークをクリック Add Rulesをクリック

22 6. ポリシー設定（脅威対策 / ロギング） 任意のRule名を入力し、ActionでAllowを選択
Inspection タブをクリックし、使用するポリシーを指定 Intrusion Policy : Connectivity Over Security File Policy : <4-1で作成したPolicy>

23 6. ポリシー設定（脅威対策 / ロギング） Logging タブをクリックし、イベントログの生成タイミングおよび出力方法を指定
インシデント発生時のみとしたい場合は、”No Logging at Connection” を選択。通常通信もモニタリングしたい場合は、 ”Log at Bigining and End of Connection” もしくは ”Log at End of Connection” を選択。 Logging出力先 デフォルトはASDM上のEvent Viewer（リアルタイムモニタリング）のみ SyslogもしくはSNMP Trapによる外部出力が可能 Store ASA FirePOWER Changes をクリック

24 6. ポリシー設定（脅威対策 / モニタリング） Apply Allをクリックして設定を反映
Store ASA FirePOWER Changesをクリックして設定保存後、Apply ASA FirePOWER Changesをクリック

25 7. ポリシー設定（コンテンツ制御） Configuration > ASA FirePOWER Configuration > Policies > Access Control Policy を選択 デフォルトポリシーのペンマークをクリック Add Rulesをクリック

26 7. ポリシー設定（コンテンツ制御） 例. 特定アプリケーションの利用を禁止したい
適切なRule Nameを入力し、ActionをBlockに変更 Insert項目を”above rule” に変更 注） “below rule” のまま 6.ポリシー設定の下に挿入すると機能しない Applicationsタブを選択 ブロック対象アプリケーションを検索して選択後、 ”Add to Rule”をクリック 設定完了の場合、Addをクリックして追加 ※URL制御を実施したい場合そのまま次頁に進む

27 7. ポリシー設定（コンテンツ制御） 例. URLカテゴリ・レピュテーションベースの通信制御を実施したい
適切なRule Nameを入力し、ActionをBlockに変更 ※前頁で設定済みの場合は設定済み Insert項目を”above rule” に変更 ※前頁で設定済みの場合は設定済み 注） “below rule” のまま 6.ポリシー設定の下に挿入すると機能しない URLsタブを選択 ブロック対象のWebカテゴリもしくはレピュテーションレベルを検索して選択後、 ”Add to Rule”をクリック Addをクリックして追加

28 7. ポリシー設定（コンテンツ制御） Apply Allをクリックして設定を反映
Store ASA FirePOWER Changesをクリックして設定保存後、Apply ASA FirePOWER Changesをクリック

29 8. データベース更新 Configuration > ASA FirePOWER Configuration > Updates を選択 “Download new rule updates from the Support Site” を選択し、Importをクリック ※ 設定を再適用したい場合はチェックボックスを選択 定期的な自動アップデートを行う場合は、アップデート時刻を指定してSave ※ 設定を再適用したい場合はチェックボックスを選択

30 8. データベース更新 Configuration > ASA FirePOWER Configuration > Updates を選択 “Download and install geolocation updates from the Support Site” を選択し、Importをクリック 定期的な自動アップデートを行う場合は、アップデート時刻を指定してSave

31 9. モニタリング Home > ASA FirePOWER Reporting 項目を選択 タイムレンジを選択

32 イベントを選択し、”View Details” をクリック
9. モニタリング Monitoring > ASA FirePOWER Monitoring > Real Time Eventing タブを切り替えて項目を選択 イベント表示のリフレッシュ間隔を選択 イベントを選択し、”View Details” をクリック 詳細イベントログを確認

33