この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、セキュアファイアウォール脅威対策および適応型セキュリティアプライアンス(ASA)のコントロールプレーンアクセスルールを設定するプロセスについて説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
通常、トラフィックはファイアウォールを通過し、データインターフェイス間でルーティングされます。状況によっては、セキュアなファイアウォール宛てのトラフィックを拒否することが有益です。シスコのセキュアファイアウォールでは、コントロールプレーンアクセスコントロールリスト(ACL)を使用して、「to-the-box」トラフィックを制限できます。コントロールプレーンACLが役立つ例としては、セキュアファイアウォールへのVPN(サイト間またはリモートアクセスVPN)トンネルを確立できるピアを制御する場合があります。
ファイアウォールの「through-the-box」トラフィックの保護
トラフィックは通常、1つのインターフェイス(インバウンド)から別のインターフェイス(アウトバウンド)にファイアウォールを通過します。これは「through-the-box」トラフィックと呼ばれ、アクセスコントロールポリシー(ACP)とプレフィルタルールの両方で管理されます。
ファイアウォールの「to-the-box」トラフィックの保護
トラフィックがFTDインターフェイス(サイト間またはリモートアクセスVPN)に直接送信される別のケースもあります。これは「to-the-box」トラフィックと呼ばれ、その特定のインターフェイスのコントロールプレーンによって管理されます。
コントロールプレーンACLに関する重要な考慮事項
次の例では、特定の国からのIPアドレスのセットが、FTD RAVPNへのログインを試みることにより、VPNへのブルートフォースを試みます。これらのVPNの総当たり攻撃からFTDを保護する最良のオプションは、外部FTDインターフェイスへの接続をブロックするようにコントロールプレーンACLを設定することです。
外部FTDインターフェイスへの着信VPNブルートフォース攻撃をブロックするようにコントロールプレーンACLを設定するには、FMCで次の手順を実行する必要があります。
ステップ 1:HTTPS経由でFMCグラフィックユーザインターフェイス(GUI)を開き、クレデンシャルでログインします。
ステップ 2:拡張ACLを作成する必要があります。このためには、「オブジェクト」>「オブジェクト管理」に移動します。
ステップ 2.1:左側のパネルから、Access List > Extendedの順に移動して、拡張ACLを作成します。
ステップ 2.2:次に、Add Extended Access Listを選択します。
ステップ 2.3:拡張ACLの名前を入力し、Addボタンをクリックしてアクセスコントロールエントリ(ACE)を作成します。
ステップ 2.4:ACEのアクションをBlockに変更し、FTDに対して拒否する必要があるトラフィックと一致するように送信元ネットワークを追加し、宛先ネットワークをAnyのままにして、AddボタンをクリックしてACEエントリを完了します。
– この例では、設定されたACEエントリにより、192.168.1.0/24サブネットからのVPNブルートフォース攻撃がブロックされます。
ステップ 2.5:さらにACEエントリを追加する必要がある場合は、もう一度Addボタンをクリックして、ステップ2.4を繰り返します。その後、Saveボタンをクリックして、ACLの設定を完了します。
ステップ 3:次に、コントロールプレーンACLを外部FTDインターフェイスに適用するようにFlex-Configオブジェクトを設定する必要があります。このためには、左側のパネルに移動し、オプションFlexConfig > FlexConfig Objectを選択します。
ステップ 3.1:[FlexConfigオブジェクトの追加]をクリックします。
ステップ 3.2:FlexConfigオブジェクトの名前を追加し、ACLポリシーオブジェクトを挿入します。このためには、Insert > Insert Policy Object > Extended ACL Objectの順に選択します。
ステップ 3.3:ACLオブジェクト変数の名前を追加してから、ステップ2.3で作成した拡張ACLを選択します。その後、Saveボタンをクリックします。
ステップ 3.4:次に、コントロールプレーンACLを外部インターフェイスのインバウンドとして次のように設定します。
コマンドライン構文:
access-group "variable name starting with $ symbol" in interface "interface-name" control-plane
これは、次のコマンド例に変換されます。この例では、ステップ2.3で作成したACL変数「VAR-ACL-UNWANTED-COUNTRY」を次のように使用しています。
access-group $VAR-ACL-UNWANTED-COUNTRY in interface outside control-plane
FlexConfigオブジェクトウィンドウで設定する方法は次のとおりです。その後、Saveボタンを選択してFlexConfigオブジェクトを完了します。
注:コントロールプレーンACLは、Outsideインターフェイスなど、セキュアファイアウォールで着信リモートアクセスVPNセッションを受信するインターフェイスに対してのみ設定することを強く推奨します。
ステップ 4:FlexConfigオブジェクトの設定をFTDに適用する必要があります。そのためには、Devices > FlexConfigの順に選択します。
ステップ 4.1:次に、FTD用に作成されたFlexConfigがない場合はNew Policyをクリックするか、既存のFlexConfigポリシーを編集します。
ステップ 4.2:新しいFlexConfigポリシーの名前を追加し、作成したコントロールプレーンACLを適用するFTDを選択します。
ステップ 4.3:左側のパネルで、ステップ3.2で作成したFlexConfigオブジェクトを検索し、ウィンドウの中央にある右矢印をクリックしてFlexConfigポリシーに追加します。その後、「Save」ボタンをクリックします。
ステップ 5:設定変更をFTDに展開するため、Deploy > Advanced Deployの順に移動します。
ステップ 5.1:次に、FlexConfigポリシーを適用するFTDを選択します。すべてが正しい場合は、「配置」をクリックします。
ステップ 5.2:その後、「配備の確認」ウィンドウが表示され、配備を追跡するためのコメントを追加して「配備」に進みます。
ステップ 5.3:FlexConfigの変更を導入するときに警告メッセージが表示される場合があります。ポリシー設定が正しいことが完全に確認できている場合にのみ、Deployをクリックします。
ステップ 5.4:FTDのポリシー展開が正常に行われたことを確認します。
手順 6: FTD用に新しいコントロールプレーンACLを作成する場合、またはアクティブに使用されている既存のコントロールプレーンACLを編集する場合は、加えられた設定変更がFTDへの確立済みの接続に適用されないことを強調することが重要です。したがって、FTDへのアクティブな接続試行を手動でクリアする必要があります。そのためには、次のようにFTDのCLIに接続し、アクティブな接続をクリアします。
特定のホストIPアドレスのアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.10 all
サブネットネットワーク全体のアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
特定の範囲のIPアドレスに対するアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.1-192.168.1.10 all
注:clear conn addressコマンドの最後にキーワード「all」を使用して、アクティブなVPN総当たり攻撃によるセキュアなファイアウォールへの接続試行を強制的にクリアすることを強く推奨します。これは主に、VPN総当たり攻撃の性質によって絶え間ない接続試行の爆発が発生している場合に行われます。
外部FTDインターフェイスへの着信VPNブルートフォース攻撃をブロックするようにコントロールプレーンACLを設定するためにFDMで実行する必要がある手順を次に示します。
ステップ 1:HTTPS経由でFDM GUIを開き、クレデンシャルでログインします。
ステップ 2:オブジェクトネットワークを作成する必要があります。この場合は、次のオブジェクトに移動します。
ステップ 2.1:左側のパネルからNetworksを選択し、「+」ボタンをクリックして新しいネットワークオブジェクトを作成します。
ステップ 2.2:ネットワークオブジェクトの名前を追加し、オブジェクトのネットワークタイプを選択し、FTDに対して拒否する必要があるトラフィックに一致するIPアドレス、ネットワークアドレス、またはIPの範囲を追加します。次に、[OK]ボタンをクリックしてオブジェクトネットワークを完了します。
– この例で設定するオブジェクトネットワークは、192.168.1.0/24サブネットからのVPNブルートフォース攻撃をブロックすることを目的としています。
ステップ 3:次に、拡張ACLを作成する必要があります。それには、トップメニューのDeviceタブに移動します。
ステップ 3.1:下にスクロールして、次のようにAdvanced Configurationの画面でView Configurationを選択します。
ステップ 3.2:次に、左側のパネルからSmart CLI > Objectsに移動し、CREATE SMART CLI OBJECTをクリックします。
ステップ 3.3:作成する拡張ACLの名前を追加し、CLIテンプレートのドロップダウンメニューからExtended Access Listを選択し、ステップ2.2で作成したネットワークオブジェクトを使用して必要なACEを設定し、OKボタンをクリックしてACLを完成させます。
注:ACLにACEをさらに追加する必要がある場合は、現在のACEの左側にマウスを置くと、クリック可能な3つのドットが表示されなくなります。それらをクリックし、Duplicateを選択してACEを追加します。
ステップ 4:次に、FlexConfigオブジェクトを作成する必要があります。これには、左側のパネルに移動し、FlexConfig > FlexConfig Objectsを選択し、CREATE FLEXCONFIG OBJECTをクリックします。
ステップ 4.1:コントロールプレーンACLを作成し、外部インターフェイスのインバウンドとして設定するには、FlexConfigオブジェクトの名前を次のように追加します。
コマンドライン構文:
access-group "ACL-name" in interface "interface-name" control-plane
これは、次のコマンド例に変換されます。この例では、ステップ3.3で作成した拡張ACL「ACL-UNWANTED-COUNTRY」を次のように使用しています。
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
FlexConfigオブジェクトウィンドウで設定する方法を次に示します。その後、OKボタンを選択してFlexConfigオブジェクトを完成させます。
注:コントロールプレーンACLは、Outsideインターフェイスなど、セキュアファイアウォールで着信リモートアクセスVPNセッションを受信するインターフェイスに対してのみ設定することを強く推奨します。
ステップ 5:FlexConfigポリシーの作成に進み、Flexconfig > FlexConfig Policyに移動し、「+」ボタンをクリックして、ステップ4.1で作成したFlexConfigオブジェクトを選択します。
ステップ 5.1:FlexConfigプレビューに、作成されたコントロールプレーンACLの正しい設定が表示されていることを確認し、Saveボタンをクリックします。
手順 6:VPN総当たり攻撃から保護したいFTDに設定変更を展開します。それには、トップメニューのDeploymentボタンをクリックし、展開する設定変更が正しいことを確認して、DEPLOY NOWをクリックします。
ステップ 6.1:ポリシーの展開が正常に行われたことを検証します。
手順 7: FTD用に新しいコントロールプレーンACLを作成する場合、またはアクティブに使用されている既存のコントロールプレーンACLを編集する場合は、加えられた設定変更がFTDへの確立済みの接続に適用されないことを強調することが重要です。したがって、FTDへのアクティブな接続試行を手動でクリアする必要があります。そのためには、次のようにFTDのCLIに接続し、アクティブな接続をクリアします。
特定のホストIPアドレスのアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.10 all
サブネットネットワーク全体のアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
特定の範囲のIPアドレスに対するアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.1-192.168.1.10 all
注:clear conn addressコマンドの最後にキーワード「all」を使用して、アクティブなVPN総当たり攻撃によるセキュアなファイアウォールへの接続試行を強制的にクリアすることを強く推奨します。これは主に、VPN総当たり攻撃の性質によって絶え間ない接続試行の爆発が発生している場合に行われます。
外部インターフェイスへの着信VPNブルートフォース攻撃をブロックするようにコントロールプレーンACLを設定するには、ASA CLIで次の手順を実行する必要があります。
ステップ 1:CLIを介してセキュアファイアウォールASAにログインし、次のように「configure terminal」にアクセスします。
asa# configure terminal
ステップ 2:次のコマンドを使用して、ASAに対してブロックする必要があるトラフィックのホストIPアドレスまたはネットワークアドレスをブロックするように拡張ACLを設定します。
– この例では、「ACL-UNWANTED-COUNTRY」という名前の新しいACLを作成し、設定されたACEエントリが192.168.1.0/24サブネットからのVPNブルートフォース攻撃をブロックします。
asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
ステップ 3:次のaccess-groupコマンドを使用して、「ACL-UNWANTED-COUNTRY」ACLを外部ASAインターフェイスのコントロールプレーンACLとして設定します。
asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
注:コントロールプレーンACLは、Outsideインターフェイスなど、セキュアファイアウォールで着信リモートアクセスVPNセッションを受信するインターフェイスに対してのみ設定することを強く推奨します。
ステップ 4: 新しいコントロールプレーンACLを作成する場合、またはアクティブに使用されている既存のコントロールプレーンACLを編集する場合は、加えられた設定変更がASAへの既存の接続に適用されないことを強調することが重要です。そのため、ASAへのアクティブな接続試行を手動でクリアする必要があります。このため、次のようにアクティブな接続をクリアします。
特定のホストIPアドレスのアクティブな接続をクリアするには、次の手順を実行します。
asa# clear conn address 192.168.1.10 all
サブネットネットワーク全体のアクティブな接続をクリアするには、次の手順を実行します。
asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all
特定の範囲のIPアドレスに対するアクティブな接続をクリアするには、次の手順を実行します。
asa# clear conn address 192.168.1.1-192.168.1.10 all
注:clear conn addressコマンドの最後にキーワード「all」を使用して、アクティブなVPN総当たり攻撃によるセキュアなファイアウォールへの接続試行を強制的にクリアすることを強く推奨します。これは主に、VPN総当たり攻撃の性質によって絶え間ない接続試行の爆発が発生している場合に行われます。
セキュアなファイアウォールに対する攻撃を即時にブロックするオプションがある場合は、「shun」コマンドを使用できます。huncommandを使用すると、攻撃ホストからの接続をブロックできます。このshunコマンドの詳細を次に示します。
shun source_ip [ dest_ip source_port dest_port [ protocol]] [ vlan vlan_id]
no shun source_ip [ vlan vlan_id]
ホストIPアドレスを回避するには、セキュアファイアウォールで次の手順を実行します。 この例では、「shun」コマンドを使用して、送信元IPアドレス192.168.1.10からのVPNブルートフォースアタックをブロックしています。
FTDの設定例
ステップ 1:CLIを使用してFTDにログインし、次のようにshunコマンドを適用します。
> shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
ステップ 2: showコマンドを使用すると、FTD内の排除IPアドレスを確認し、IPアドレスごとの排除ヒットカウントをモニタできます。
> show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
> show shun statistics diagnostic=OFF, cnt=0 outside=ON, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:00:28)
ASAの設定例
ステップ 1:CLIを使用してASAにログインし、次のようにshunコマンドを適用します。
asa# shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
ステップ 2: showコマンドを使用すると、ASAの排除IPアドレスを確認し、IPアドレスごとの排除ヒットカウントをモニタできます。
asa# show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
asa# show shun statistics outside=ON, cnt=0 inside=OFF, cnt=0 dmz=OFF, cnt=0 outside1=OFF, cnt=0 mgmt=OFF, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:01:39)
注:secure firewall shunコマンドの詳細については、『Cisco Secure Firewall Threat Defense Command Reference』を参照してください
コントロールプレーンACL設定がセキュアファイアウォールに対して設定されていることを確認するには、次の手順を実行します。
ステップ 1:CLIを介してセキュアファイアウォールにログインし、次のコマンドを実行して、コントロールプレーンACL設定が適用されていることを確認します。
FMCによって管理されるFTDの出力例を次に示します。
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
FDMによって管理されるFTDの出力例を次に示します:
> show running-config object id OBJ-NET-UNWANTED-COUNTRY
object network OBJ-NET-UNWANTED-COUNTRY
subnet 192.168.1.0 255.255.255.0
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any4 log default
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
ASAの出力例:
asa# show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
asa# show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
ステップ 2: コントロールプレーンACLが必要なトラフィックをブロックしていることを確認するには、packet-tracerコマンドを使用して、セキュアファイアウォールの外部インターフェイスへの着信TCP 443接続をシミュレートします。次に、show access-list <acl-name>コマンドを使用します。コントロールプレーンACLによってセキュアファイアウォールへのVPNブルートフォース接続がブロックされるたびに、ACLヒットカウントが増加します。
– この例では、packet-tracerコマンドにより、ホスト192.168.1.10から送信され、セキュアファイアウォールの外部IPアドレスに宛てられた着信TCP 443接続がシミュレートされます。「packet-tracer」の出力はトラフィックがドロップされていることを示し、「show access-list」の出力はコントロールプレーンACLのヒットカウントの増分を示します。
FTDの出力例
> packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.251 443 Phase: 1 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 21700 ns Config: Additional Information: Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up Action: drop Time Taken: 21700 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x00005623c7f324e7 flow (NA)/NA
> show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x142f69bf
ASAの出力例
asa# packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.5 443 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Elapsed time: 19688 ns Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 17833 ns Config: Additional Information: Result: input-interface: outside input-status: up input-line-status: up Action: drop Time Taken: 37521 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x0000556e6808cac8 flow (NA)/NA asa# show access-list ACL-UNWANTED-COUNTRY access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x9b4d26ac
注:Cisco Secure Client VPNなどのRAVPNソリューションがセキュアファイアウォールに実装されている場合は、セキュアファイアウォールへの実際の接続を実行して、コントロールプレーンACLが期待どおりに動作して必要なトラフィックをブロックしていることを確認できます。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
21-Dec-2023 |
初版 |