セキュリティ : Cisco ASA 5500-X with FirePOWER Services

ASA プラットフォームの FirePOWER サービス モジュールをインストールし、設定して下さい

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)で動作する Cisco FirePOWER (SFR)モジュールおよび Cisco FireSIGHT Management Center が付いている SFR モジュールを登録する方法をインストールし設定する方法を記述されています。

著者:Cisco TAC エンジニア、ナズムル・ラジブ。

前提条件

要件

Cisco はこの資料に説明がある手順を試みる前にシステム大会これらの必要条件ことを推奨します:

  • フラッシュ ドライブ(disk0)の空き容量の少なくとも 3GB があるブート ソフトウェアのサイズに加えてことを、確認して下さい。

  • 特権EXECモードにアクセスできることを確認して下さい。 特権EXECモードにアクセスするために、CLI に enable コマンドを入力して下さい。 パスワードが設定 されなかった場合、『Enter』 を押して下さい:
    ciscoasa> enable
    Password:
    ciscoasa#

使用するコンポーネント

Cisco FirePOWER サービスを Cisco ASA でインストールするために、これらのコンポーネントが必要となります:

  • Cisco ASA ソフトウェア バージョン 9.2.2 またはそれ以降

  • Cisco ASA プラットフォーム 5512-X による 5555-X

Cisco FireSIGHT Management Center でこれらのコンポーネントが必要となります:

  • ソフトウェア バージョン 5.3.1 またはそれ以降

  • シリーズ 2、シリーズ 3、またはバーチャル FireSIGHT Management Center

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

Cisco ASA FirePOWER モジュールは、別名 ASA SFR、下記のものを含めて次世代ファイアウォールサービスを供給します、:

  • 次世代 侵入防御 システム(NGIPS)

  • アプリケーション表示およびコントロール(AVC)

  • URL フィルタリング

  • Malware 先発保護(AMP)

: 単一かマルチ コンテキスト モードと経路選択済みか透過モードで ASA SFR モジュールを使用できます。

はじめに

この資料に説明がある手順を試みる前にこの重要な情報を考慮して下さい:

  • ポリシーが ASA SFR と侵入防御システム(IPS) /Context わかっている(CX)モジュールにトラフィックを(そのリダイレクトする取り替えた)アクティブなサービスがあれば、ASA SFR サービス ポリシーを設定する前にそれを取除いて下さい。

  • 現在動作するその他のソフトウェア モジュールをシャットダウンして下さい。 デバイスは単一 ソフトウエアモジュールを一度に実行できます。 ASA CLI からこれをして下さい。 たとえば、これらのコマンドはシャットダウンし、IPS ソフトウエアモジュールをアンインストールし、次に ASA をリロードします:
    ciscoasa# sw-module module ips shutdown
    ciscoasa# sw-module module ips uninstall
    ciscoasa# reload
    CX モジュールを取り外すために使用するコマンドは cxsc キーワードが IPS の代りに使用される以外、同じです:
    ciscoasa# sw-module module cxsc shutdown
    ciscoasa# sw-module module cxsc uninstall
    ciscoasa# reload
  • モジュールをイメージ変更するとき、同じシャットダウンを使用し、古い SFR イメージを削除するために使用するコマンドをアンインストールして下さい。 次に例を示します。
    ciscoasa# sw-module module sfr uninstall
  • ASA SFR モジュールがマルチ コンテキスト モードで使用される場合、システム実行領域内のこの資料に説明がある手順を行って下さい。

ヒント: ASA のモジュールのステータスを判別するために、show module コマンドを入力して下さい。

Install

このセクションは ASA で SFR モジュールをインストールする方法をおよび ASA SFR ブートイメージを設定する方法を記述します。

ASA で SFR モジュールをインストールして下さい

ASA で SFR モジュールをインストールするためにこれらのステップを完了して下さい:

  1. Cisco.com から ASA SFR マネージメントインターフェイスからアクセス可能である FTP サーバまたは HTTP、HTTPS に ASA SFR システム ソフトウェアを、ダウンロードして下さい。

  2. デバイスにブートイメージをダウンロードして下さい。 Cisco Adaptive Security Device Manager (ASDM)またはデバイスにブートイメージをダウンロードするために ASA CLI を使用できます。

    : システム ソフトウェアを転送しないで下さい; それはソリッド ステート ドライブ(SSD)へダウンロードされた以降です。

    ASDM によってブートイメージをダウンロードするためにこれらのステップを完了して下さい:

    1. ブートイメージをワークステーションにダウンロードするか、または FTP、TFTP、HTTP、HTTPS、サーバ メッセージ ブロック (SMB)、または Secure Copy(SCP) サーバに置いて下さい。

    2. ツール > ASDM のファイル 管理 プログラムへのナビゲート。

    3. ローカルPC とフラッシュするまたはリモートサーバとフラッシュする間の適切なファイル転送 コマンドを、選択して下さい。

    4. ASA のフラッシュ ドライブ(disk0)にブート ソフトウェアを転送して下さい。

    ASA CLI によってブートイメージをダウンロードするためにこれらのステップを完了して下さい:

    1. FTP、TFTP、HTTP、または HTTPS サーバのブートイメージをダウンロードして下さい。

    2. フラッシュ ドライブにブートイメージをダウンロードするために CLI に copy コマンドを入力して下さい。

      HTTP プロトコルを使用する例はここにあります(サーバのIPアドレスかホスト名と <HTTP_Server> を取り替えて下さい):
      ciscoasa# copy http://<HTTP_SERVER>/asasfr-5500x-boot-5.3.1-152.img
      disk0:/asasfr-5500x-boot-5.3.1-152.img
  3. ASA フラッシュ ドライブの ASA SFR ブートイメージ 位置を設定するためにこのコマンドを入力して下さい:
    ciscoasa# sw-module module sfr recover configure image disk0:/file_path
    次に例を示します。
    ciscoasa# sw-module module sfr recover configure image disk0:
    /asasfr-5500x-boot-5.3.1-152.img
  4. ASA SFR ブートイメージをロードするためにこのコマンドを入力して下さい:
    ciscoasa# sw-module module sfr recover boot
    この時間の間に、ASA のデバッグ モジュールブートを有効に すれば、これらのデバッグは印刷されます:
    Mod-sfr 788> *** EVENT: Creating the Disk Image...
    Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
    Mod-sfr 790> ***
    Mod-sfr 791> ***
    Mod-sfr 792> *** EVENT: The module is being recovered.
    Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
    Mod-sfr 794> ***
    ...
    Mod-sfr 795> ***
    Mod-sfr 796> *** EVENT: Disk Image created successfully.
    Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
    Mod-sfr 798> ***
    Mod-sfr 799> ***
    Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
    ISO: -cdrom /mnt/disk0
    Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
    Mgmt MAC: A4:4C:11:29:
    Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
    cache=none,if=virtio,
    Mod-sfr 803> Dev
    Mod-sfr 804> ***
    Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
    32MB, Cmd Op: r, Shared M
    Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
    Sock: /dev/ttyS1_vm3,
    Mod-sfr 807>  Mem-Path: -mem-path /hugepages
    Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
    Mod-sfr 809> ***
    Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
    key is 8061, size is 6
    ...
    Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
    acpid.
    Mod-sfr 240> acpid: starting up with proc fs
    Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
    Mod-sfr 242> starting Busybox inetd: inetd... done.
    Mod-sfr 243> Starting ntpd: done
    Mod-sfr 244> Starting syslogd/klogd: done
    Mod-sfr 245>
    Cisco ASA SFR Boot Image 5.3.1
  5. 起動し、次に操作上 ASA SFR ブートイメージにコンソール セッションを開く ASA SFR モジュールをおよそ 5 から 15 分を待って下さい。

ASA SFR ブートイメージを設定して下さい

最近インストール済み ASA SFR ブートイメージを設定するためにこれらのステップを完了して下さい:

  1. ログインプロンプトに達するためにセッションを開いた後『Enter』 を押して下さい。

    : デフォルトのユーザ名は admin であり、デフォルトパスワードは Admin123 です。

    次に例を示します。
    ciscoasa# session sfr console
    Opening console session with module sfr.
    Connected to module sfr. Escape character sequence is 'CTRL-^X'.

    Cisco ASA SFR Boot Image 5.3.1
    asasfr login: admin
    Password: Admin123

    ヒント: ASA SFR モジュールブートが完了しない場合、session コマンドは失敗し、システムが TTYS1 に接続することができないことを示すためにメッセージが現れます。 これが発生する場合、完了し、もう一度試すためにモジュールブートを待って下さい。

  2. システム ソフトウェア ソフトウエア パッケージをインストールできるようにシステムを設定するために setup コマンドを入力して下さい:
    asasfr-boot> setup
    Welcome to SFR Setup
    [hit Ctrl-C to abort]
    Default values are inside []
    この情報のためにそれからプロンプト表示されます:

    • ホスト名–ホスト名は領域無しに 65 までの英数字、である場合もあります。 ハイフンの使用は許可されます。

    • ネットワーク アドレス–ネットワーク アドレスは静的な IPv4 または IPv6 アドレスのどれである場合もあります。 また IPv4 のために DHCP、か IPv6 ステートレス自動構成を使用できます。

    • DNS 情報–少なくとも 1 Domain Name System (DNS) サーバを識別して下さいまたドメイン名を設定 し、ドメインを検索できます。

    • NTP 情報– Network Time Protocol (NTP)を有効に し、システムの時刻を設定 するために NTP サーバを設定できます。

  3. システムソフトウェアイメージをインストールするためにシステム インストール コマンドを入力して下さい:
    asasfr-boot> system install [noconfirm] url
    確認 の メッセージに応答したいと思わない場合 noconfirm オプションを含んで下さい。 .pkg ファイルの位置と URL キーワードを取り替えて下さい。 次に例を示します。
    asasfr-boot> system install http://<HTTP_SERVER>/asasfr-sys-5.3.1-152.pkg
    Verifying
    Downloading
    Extracting

    Package Detail
    Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
    Requires reboot: Yes

    Do you want to continue with upgrade? [y]: y
    Warning: Please do not interrupt the process or turn off the system. Doing so
    might leave system in unusable state.

    Upgrading
    Starting upgrade process ...
    Populating new system image

    Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
    (press Enter)

    Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
    The system is going down for reboot NOW!
    Console session with module sfr terminated.

: インストールが完了する時、システム リブート。 割り当てアプリケーション コンポーネント の インストールと開始するべき ASA SFR サービスのための 10 のまたはより多くの分。 show module sfr コマンドの出力はすべてのプロセスが稼働していることを示す必要があります。

設定

このセクションは FirePOWER ソフトウェアおよび FireSIGHT Management Center を設定する方法をおよび SFR モジュールにトラフィックをリダイレクトする方法を記述します。

FirePOWER ソフトウェアを設定して下さい

FirePOWER ソフトウェアを設定するためにこれらのステップを完了して下さい:

  1. ASA SFR モジュールにセッションを開いて下さい。

    : 別のログインプロンプトは今ログオンがフル機能装備 モジュールに見られるので現われます。

    次に例を示します。
    ciscoasa# session sfr
    Opening command session with module sfr.
    Connected to module sfr. Escape character sequence is 'CTRL-^X'.
    Sourcefire ASA5555 v5.3.1 (build 152)
    Sourcefire3D login:
  2. ユーザ名 admin およびパスワード Sourcefire でログイン。

  3. この順序で発生するプロンプト表示されるようにシステム構成を完了して下さい、:

    1. エンドユーザー 使用 許諾 契約(EULA)を読み、受け入れて下さい。

    2. 管理者 パスワードを変更して下さい。

    3. プロンプト表示されるように管理アドレスおよび DNS 設定を、設定して下さい。

      : IPv4 および IPv6 両方管理アドレスを設定できます。

    次に例を示します。
    System initialization in progress. Please stand by. You must change the password
    for 'admin' to continue. Enter new password: <new password>
    Confirm new password: <repeat password>
    You must configure the network to continue.
    You must configure at least one of IPv4 or IPv6.
    Do you want to configure IPv4? (y/n) [y]: y
    Do you want to configure IPv6? (y/n) [n]:
    Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
    Enter an IPv4 address for the management interface [192.168.45.45]: 198.51.100.3
    Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
    Enter the IPv4 default gateway for the management interface []: 198.51.100.1
    Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
    Enter a comma-separated list of DNS servers or 'none' []:
    198.51.100.15, 198.51.100.14
    Enter a comma-separated list of search domains or 'none' [example.net]: example.com
    If your networking information has changed, you will need to reconnect.
    For HTTP Proxy configuration, run 'configure network http-proxy'
  4. それ自身を再構成するためにシステムを待って下さい。

FireSIGHT Management Center を設定して下さい

ASA SFR モジュールおよびセキュリティポリシーを管理するために、FireSIGHT Management Center とそれを登録して下さい。 FireSIGHT Management Center とこれらの操作を行うことができません:

  • ASA SFR モジュールインターフェイスを設定して下さい

  • ASA SFR モジュール プロセスをシャットダウンしますか、再起動するか、または別の方法で管理して下さい

  • 、ASA SFR モジュールデバイスからの作成するか、またはバックアップをへのバックアップを復元する

  • VLAN タグ状態の使用のトラフィックを一致するためにアクセスコントロール ルールを書いて下さい

SFR モジュールにトラフィックをリダイレクトして下さい

トラフィックを ASA SFR モジュールにリダイレクトするために、特定のトラフィックを識別するサービス ポリシーを作成して下さい。 ASA SFR モジュールにトラフィックをリダイレクトするためにこれらのステップを完了して下さい:

  1. access-list コマンドで識別する必要があるトラフィックを選択して下さい。 この例では、インターフェイスすべてからのトラフィックすべてはリダイレクトされます。 特定のトラフィックのためにこれを同様にすることができます。
    ciscoasa(config)# access-list sfr_redirect extended permit ip any any
  2. アクセス リストのトラフィックを一致するために class-map を作成して下さい:
    ciscoasa(config)# class-map sfr
    ciscoasa(config-cmap)# match access-list sfr_redirect
  3. 配置モードを規定 して下さい。 受動の(モニタのみ)またはインライン(正常な)配置モードのデバイスを設定できます。

    : ASA のパッシブモードおよびインライン モードを両方同時に設定できません。 セキュリティポリシーの 1 つの型だけ割り当てられます。

    • インライン配備では、望ましくないトラフィックが廃棄されたポリシーによって適用され、他のどの操作も実行された後、トラフィックはこれからの プロセスおよび最終的な伝達のための ASA に戻ります。 この例に policy-map を作成しインライン モードの ASA SFR モジュールを設定する方法を示されています:
      ciscoasa(config)# policy-map global_policy
      ciscoasa(config-pmap)# class sfr
      ciscoasa(config-pmap-c)# sfr fail-open
    • 受動配備では、トラフィックのコピーは SFR サービスモジュールに送られますが、ASA に戻りません。 パッシブモードは SFR モジュールがトラフィックに関して完了しよう操作を表示することを可能にします。 それはまたネットワークに影響なしでトラフィックのコンテンツを、評価することを可能にします。

      パッシブモードの SFR モジュールを設定したいと思う場合モニタのみのキーワードを使用して下さい(次 の 例に示すように)。 キーワードを含まない場合、トラフィックはインライン モードで送信 されます。
      ciscoasa(config-pmap-c)# sfr fail-open monitor-only

    警告: モニタのみのモードは SFR サービスモジュールが悪意のあるトラフィックを拒否するか、またはブロックしないようにしません。

    注意: interface-level トラフィック前方 sfr モニタのみのコマンドの使用でモニタのみのモードの ASA を設定することは可能性のあるであるかもしれません; ただし、この設定はデモ機能性のため全く、本番 ASA で使用するべきではありません。 このデモ機能にあるどの問題でも Cisco Technical Assistance Center (TAC)によってサポートされません。 パッシブモードの ASA SFR サービスを展開することを望む場合 policy-map の使用でそれを設定して下さい。

  4. 位置を規定 し、ポリシーを適用して下さい。 グローバルにまたはインターフェイスでポリシーを適用できます。 インターフェイスのグローバル な ポリシーを無効にするために、そのインターフェイスにサービス ポリシーを適用できます。

    Global キーワードはインターフェイスすべてにポリシーマップを加え、インターフェイス キーワードは 1 つのインターフェイスにポリシーを適用します。 許可されるグローバル ポリシーは 1 つだけです。 この例では、ポリシーはグローバルに適用されます:
    ciscoasa(config)# service-policy global_policy global

    注意: ポリシーマップ global_policy はデフォルトポリシーです。 このポリシーを使用し、トラブルシューティングを行うのにデバイスでそれを取除きたいと思う場合影響を理解するようにして下さい。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118644