このドキュメントでは、セキュアファイアウォール脅威対策(SFTD)および適応型セキュリティアプライアンス(ASA)のコントロールプレーンアクセスルールを設定するプロセスについて説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
通常、トラフィックはファイアウォールを通過し、データインターフェイス間でルーティングされます。状況によっては、セキュアなファイアウォールを「宛先」とするトラフィックを拒否することが有益です。Cisco Secure Firewallでは、コントロールプレーンアクセスコントロールリスト(ACL)を使用して、「to-the-box」トラフィックを制限できます。コントロールプレーンACLが、セキュアファイアウォールへのVPN(サイト間またはリモートアクセスVPN)トンネルを確立できるピアを制御するのに役立つ場合がある例を示します。
トラフィックは通常、1つのインターフェイス(着信)から別のインターフェイス(発信)にファイアウォールを通過します。これはthrough-the-boxトラフィックと呼ばれ、アクセスコントロールポリシー(ACP)とプレフィルタルールの両方で管理されます。
画像 1.through-the-boxトラフィックの例
トラフィックがFTDインターフェイス(サイト間またはリモートアクセスVPN)に直接着信する別のケースもあります。これはto-the-boxトラフィックと呼ばれ、その特定のインターフェイスのコントロールプレーンによって管理されます。
画像 2.To-the-boxトラフィックの例次の例では、特定の国からのIPアドレスのセットが、FTD RAVPNへのログインを試行することで、VPN経由でネットワークへのブルートフォースを試みます。これらのVPNのブルートフォース攻撃からFTDを保護する最善のオプションは、コントロールプレーンACLを設定して、外部のFTDインターフェイスへの接続をブロックすることです。
外部のFTDインターフェイスに対する着信VPNブルートフォース攻撃をブロックするようにコントロールプレーンACLを設定するには、FMCで次の手順に従う必要があります。
ステップ 1:HTTPS経由でFMCグラフィックユーザインターフェイス(GUI)を開き、クレデンシャルでログインします。
画像 3.FMCログインページ
ステップ 2拡張ACLを作成する必要があります。それには、Objects > Object Managementの順に移動します。
図 4.オブジェクト管理
ステップ 2.1:左側のパネルで、Access List > Extendedの順に移動し、拡張ACLを作成します。
図 5.拡張ACLメニュー
ステップ 2.2: Add Extended Access Listを選択します。
図 6.拡張ACLの追加
ステップ 2.3:拡張ACLの名前を入力し、Addボタンをクリックしてアクセスコントロールエントリ(ACE)を作成します。
図 7.拡張ACLエントリ
ステップ 2.4:ACEのアクションをBlockに変更し、FTDに対して拒否する必要があるトラフィックと一致するように送信元ネットワークを追加し、宛先ネットワークをAnyのままにします。次に、AddボタンをクリックしてACEのエントリを完了します。
この例では、設定されたACEエントリにより、192.168.1.0/24サブネットからのVPNブルートフォース攻撃がブロックされます。
図 8.拒否されたネットワーク
ステップ 2.5:さらにACEエントリを追加する必要がある場合は、再度Addボタンをクリックして、ステップ2.4を繰り返します。その後、Saveボタンをクリックして、ACLの設定を完了します。
図 9.完成した拡張ACLエントリ
ステップ 3次に、コントロールプレーンACLを外部FTDインターフェイスに適用するようにFlex-Configオブジェクトを設定する必要があります。左側のパネルに移動し、オプションFlexConfig > FlexConfig Objectを選択します。
図 10.FlexConfigオブジェクトメニュー
ステップ 3.1:Add FlexConfig Objectをクリックします。
図 11.Flexconfigオブジェクトの追加
ステップ 3.2:FlexConfigオブジェクトの名前を追加し、ACLポリシーオブジェクトを挿入します。Insert > Insert Policy Object > Extended ACL Objectの順に選択します。
図 12.FlexConfigオブジェクト変数
ステップ 3.3:ACLオブジェクト変数の名前を追加し、ステップ2.3で作成した拡張ACLを選択します。次に、Saveボタンをクリックします。
図 13.FlexConfigオブジェクト変数ACL割り当て
ステップ 3.4: 外部インターフェイスのコントロールプレーンACLをインバウンドとして設定します。
コマンドライン構文:
access-group "variable name starting with $ symbol" in interface "interface-name" control-plane
これは、次のコマンドの例に変換されています。この例では、ステップ2.3で作成したACL変数VAR-ACL-UNWANTED-COUNTRY:
access-group $VAR-ACL-UNWANTED-COUNTRY in interface outside control-plane
FlexConfigオブジェクトウィンドウの設定方法を次に示します。その後、Saveボタンを選択してFlexConfigオブジェクトを設定します。
図 14.Flexconfigオブジェクト完全なコマンドライン
ステップ 4FlexConfigオブジェクトの設定をFTDに適用する必要があります。Devices > FlexConfigに移動します。
図 15.FlexConfig Policyメニュー
ステップ 4.1: New Policyをクリックします。FTD用に作成されたFlexConfigがない場合は、既存のFlexConfigポリシーを編集します。
図 16.FlexConfigポリシーの作成
ステップ 4.2:新しいFlexConfigポリシーの名前を追加し、作成したコントロールプレーンACLを適用するFTDを選択します。
図 17.FlexConfigポリシーデバイスの割り当て
ステップ 4.3:左側のパネルで、ステップ3.2で作成したFlexConfigオブジェクトを検索し、ウィンドウの中央にある右矢印をクリックしてそれをFlexConfigポリシーに追加します。次に、Saveボタンをクリックします。
図 18.FlexConfigポリシーオブジェクトの割り当て
ステップ 5Deploy > Advanced Deployの順に選択して、FTDへの設定変更の導入に進みます。
図 19.FTDの高度な導入
ステップ 5.1: FlexConfigポリシーを適用するFTDを選択します。すべてが正しければ、Deployをクリックします。
図 20.FTD導入の検証
ステップ 5.2: 次に、Deployment Confirmationウィンドウが表示されます。コメントを追加して展開を追跡し、展開に進みます。
図 21.FTD導入に関するコメント
ステップ 5.3:FlexConfigの変更を導入すると、警告メッセージが表示される場合があります。ポリシー設定が正しいと確信できる場合のみ、Deploy onlyをクリックします。
図 22.FTD展開Flexconfigの警告
ステップ 5.4:ポリシーがFTDに対して正常に展開されたことを確認します。
図 23.FTDの導入に成功
ステップ 6 FTD用に新しいコントロールプレーンACLを作成する場合、またはアクティブに使用されている既存のコントロールプレーンACLを編集した場合は、行った設定変更を強調表示することが重要です。これらは、すでに確立されているFTDへの接続には適用されません。FTDへのアクティブな接続試行を手動でクリアし、FTDのCLIに接続して、アクティブな接続をクリアする必要があります。
特定のホストIPアドレスのアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.10 all
サブネットネットワーク全体のアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
IPアドレスの範囲に対するアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.1-192.168.1.10 all
外部FTDインターフェイスへの着信VPNブルートフォース攻撃をブロックするようにコントロールプレーンACLを設定するために、FDMで次の手順に従う必要があります。
ステップ 1:HTTPS経由でFDM GUIを開き、ログイン情報を使用してログインします:
図 24.FDMのログイン・ページ
ステップ 2オブジェクトネットワークを作成する必要があります。Objectsに移動します。
図 25.FDMメイン・ダッシュボード
ステップ 2.1:左側のパネルからNetworksを選択し、+ボタンをクリックして新しいネットワークオブジェクトを作成します。
図 26.オブジェクトの作成
ステップ 2.2:ネットワークオブジェクトの名前を追加し、オブジェクトのネットワークタイプを選択し、FTDに対して拒否する必要があるトラフィックに一致するようにIPアドレス、ネットワークアドレス、またはIPの範囲を追加します。次にOkボタンをクリックして、オブジェクトネットワークを完成させます。
この例で設定するオブジェクトネットワークは、192.168.1.0/24サブネットからのVPNブルートフォース攻撃をブロックすることを目的としています。
図 27.ネットワークオブジェクトの追加
ステップ 3次に、拡張ACLを作成し、トップメニューのDeviceタブに移動する必要があります。
図 28.デバイス設定ページ
ステップ 3.1:下にスクロールし、図に示すように、Advanced Configurationの画面でView Configurationを選択します。
図 29.FDMの詳細設定
ステップ 3.2:次に、左側のパネルからSmart CLI > Objectsに移動し、CREATE SMART CLI OBJECTをクリックします。
図 30.Smart CLIオブジェクト
ステップ 3.3:拡張ACLの名前を追加します。作成するには、CLIテンプレートのドロップダウンメニューからExtended Access Listを選択し、ステップ2.2で作成したネットワークオブジェクトを使用して、必要なACEを設定します。 次にOKボタンをクリックして、ACLを完成させます。
図 31.拡張ACLの作成
ステップ 4 次に、FlexConfigオブジェクトを作成し、左側のパネルに移動してFlexConfig > FlexConfig Objectsを選択してから、CREATE FLEXCONFIG OBJECTをクリックする必要があります。
、
図 32.FlexConfigオブジェクト
ステップ 4.1:コントロールプレーンACLを作成し、外部インターフェイスのインバウンドとして設定するために、FlexConfigオブジェクトの名前を追加します。
コマンドライン構文:
access-group "ACL-name" in interface "interface-name" control-plane
これは、ステップ3.3で作成した拡張ACL-UNWANTED-COUNTRY:を使用する、次のコマンド例に変換されます。
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
これは、FlexConfigオブジェクトウィンドウで設定できる方法です。OKボタンを選択して、FlexConfigオブジェクトを完成させます。
図 33.FlexConfigオブジェクトの作成
ステップ 5FlexConfigポリシーの作成に進みます。Flexconfig > FlexConfig Policyに移動し、「+」ボタンをクリックして、ステップ4.1で作成したFlexConfigオブジェクトを選択します。
図 34.FlexConfigポリシー
ステップ 5.1:作成したコントロールプレーンACLに対してFlexConfigプレビューに正しい設定が表示されていることを確認し、Saveボタンをクリックします。
図 35.FlexConfigポリシープレビュー
ステップ 6VPNブルートフォース攻撃から保護するFTDに設定変更を導入します。次に、トップメニューのDeploymentボタンをクリックして、導入する設定変更が正しいことを確認し、DEPLOY NOWをクリックします。
図 36.展開の保留中
ステップ 6.1:ポリシーが正常に展開されたことを確認します。
図 37.正常に展開されました
ステップ 7 FTD用に新しいコントロールプレーンACLを作成する場合、またはアクティブに使用されている既存のコントロールプレーンACLを編集した場合は、行った設定変更を強調表示することが重要です。これらは、すでに確立されているFTDへの接続には適用されません。FTDへのアクティブな接続試行を手動でクリアし、FTDのCLIに接続して、アクティブな接続をクリアする必要があります。
特定のホストIPアドレスのアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.10 all
サブネットネットワーク全体のアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
IPアドレスの範囲に対するアクティブな接続をクリアするには、次の手順を実行します。
> clear conn address 192.168.1.1-192.168.1.10 all
ASA CLIで従う必要がある手順は、コントロールプレーンACLを設定して、外部インターフェイスへの着信VPNブルートフォース攻撃をブロックすることです。
ステップ 1:CLIを使用してセキュアファイアウォールASAにログインし、configure terminalコマンドへのアクセスを取得します。
asa# configure terminal
ステップ 2次のコマンドを実行して拡張ACLを設定すると、ASAに対してブロックする必要があるトラフィックのホストIPまたはネットワークアドレスがブロックされます。
この例では、ACL-UNWANTED-COUNTRYという名前の新しいACLを作成し、設定されたACEエントリによって、192.168.1.0/24サブネットからのVPNブルートフォース攻撃をブロックします。
asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
ステップ 3 次のaccess-groupコマンドを実行して、ACL-UNWANTED-COUNTRY ACLを外部ASAインターフェイスのコントロールプレーンACLとして設定します。
asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
ステップ 4 新しいコントロールプレーンACLを作成する場合、または使用中の既存のコントロールプレーンACLを編集する場合は、行った設定変更を強調表示することが重要です。これらは、すでに確立されているASAへの接続には適用されません。ASAへのアクティブな接続試行を手動でクリアし、アクティブな接続をクリアする必要があります。
特定のホストIPアドレスのアクティブな接続をクリアするには、次の手順を実行します。
asa# clear conn address 192.168.1.10 all
サブネットネットワーク全体のアクティブな接続をクリアするには、次の手順を実行します。
asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all
IPアドレスの範囲に対するアクティブな接続をクリアするには、次の手順を実行します。
asa# clear conn address 192.168.1.1-192.168.1.10 all
セキュアファイアウォールに対する即時ブロック攻撃の場合は、shun コマンドを実行できます。heshuncommandを使用すると、攻撃ホストからの接続をブロックできます。shunコマンドの詳細を確認してください。
Shunコマンドの構文:
shun source_ip [ dest_ip source_port dest_port [ protocol]] [ vlan vlan_id]
shunを無効にするには、このコマンドのno形式を実行します。
no shun source_ip [ vlan vlan_id]
ホストのIPアドレスを回避するには、セキュアファイアウォールについてこの例に進みます。 この例では、shun コマンドを使用して、送信元IPアドレス192.168.1.10からのVPNブルートフォース攻撃をブロックします。
ステップ 1:CLIを使用してFTDにログインし、shunコマンドを実行します。
> shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
ステップ 2 showコマンドを実行すると、FTD内の回避IPアドレスを確認し、IPアドレスごとに回避ヒットカウントをモニタできます。
> show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
> show shun statistics diagnostic=OFF, cnt=0 outside=ON, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:00:28)
ステップ 1:CLIを使用してASAにログインし、shunコマンドを適用します。
asa# shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
ステップ 2 showコマンドを実行すると、ASAでの回避IPアドレスを確認し、IPアドレスごとの回避ヒットカウントをモニタできます。
asa# show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
asa# show shun statistics outside=ON, cnt=0 inside=OFF, cnt=0 dmz=OFF, cnt=0 outside1=OFF, cnt=0 mgmt=OFF, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:01:39)
コントロールプレーンACL設定がセキュアファイアウォールに対して適切であることを確認するには、次の手順に進みます。
ステップ 1:CLI経由でセキュアファイアウォールにログインし、次のコマンドを実行して、コントロールプレーンACL設定が適用されていることを確認します。
FMC管理対象FTDの出力例は次のとおりです。
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
FDM管理FTDの出力例は次のとおりです:
> show running-config object id OBJ-NET-UNWANTED-COUNTRY
object network OBJ-NET-UNWANTED-COUNTRY
subnet 192.168.1.0 255.255.255.0
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any4 log default
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
ASAの出力例:
asa# show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
asa# show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
ステップ 2 コントロールプレーンACLが必要なトラフィックをブロックしていることを確認するには、packet-tracerコマンドを実行して、セキュアファイアウォールの外部インターフェイスへの着信TCP 443接続をシミュレートします。次に、show access-list <acl-name> コマンドを実行すると、セキュアファイアウォールへのVPNブルートフォース接続がコントロールプレーンACLによってブロックされるたびに、ACLのヒットカウントが増加します。
この例では、packet-tracerコマンドにより、ホスト192.168.1.10を送信元とし、セキュアなファイアウォールの外部IPアドレスを宛先とする、TCP 443の着信接続がシミュレートされています。packet-tracerの出力で、トラフィックがドロップされていることを確認し、show access-listの出力で、設定されているコントロールプレーンACLのヒットカウントが増分されて表示されます。
FTDの出力例
> packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.251 443 Phase: 1 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 21700 ns Config: Additional Information: Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up Action: drop Time Taken: 21700 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x00005623c7f324e7 flow (NA)/NA
> show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x142f69bf
asa# packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.5 443 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Elapsed time: 19688 ns Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 17833 ns Config: Additional Information: Result: input-interface: outside input-status: up input-line-status: up Action: drop Time Taken: 37521 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x0000556e6808cac8 flow (NA)/NA asa# show access-list ACL-UNWANTED-COUNTRY access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x9b4d26ac
| 改定 | 発行日 | コメント |
|---|---|---|
3.0 |
01-Jul-2026
|
代替テキスト、スペル、文法、文の構造、スペース、およびCCWアラートを更新。 |
2.0 |
10-Apr-2025
|
フォーマット、代替テキスト、固定ヘッダー、DEI言語 |
1.0 |
21-Dec-2023
|
初版 |