この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
日付と時刻を手動で設定したり、NTP サーバを設定したりするには、NTP pageを使用します。シャーシに設定した日付と時刻は、論理デバイスを含めて、シャーシ内の他のコンポーネントと同期されます。
NTP を利用して階層的なサーバ システムを実現し、ネットワーク システム間の時刻を正確に同期します。このような精度は、CRL の検証など正確なタイム スタンプを含む場合など、時刻が重要な操作で必要になります。
ここでは、Firepower のシャーシで日付と時刻を手動で設定する方法ついて説明します。
ステップ 1 | を選択します。 | ||
ステップ 2 | Firepower のシャーシに適切なタイムゾーンを [タイムゾーン(Time Zone)] ドロップダウン リストから選択します。 | ||
ステップ 3 | [時刻源の設定(Set Time Source)] で、[時刻を手動で設定(Set Time Manually)] をクリックします。 | ||
ステップ 4 | [日付(Date)] ドロップダウン リストをクリックしてカレンダーを表示し、そのカレンダーで使用可能なコントロールを使用して日付を設定します。 | ||
ステップ 5 |
対応するドロップダウン リストを使用して、時刻を時間、分、および AM/PM で指定します。
|
||
ステップ 6 |
[保存(Save)] をクリックします。 Firepower のシャーシが指定した日付と時刻で設定されます。
|
次に、Firepower のシャーシへの SSH アクセスを有効または無効にする手順を示します。SSH はデフォルトでイネーブルになります。
ステップ 1 | を選択します。 |
ステップ 2 | Firepower のシャーシへの SSH アクセスを有効にするには、[SSH を有効化(Enable SSH)] チェックボックスをオンにします。SSH アクセスを無効にするには、[SSH を有効化(Enable SSH)] チェックボックスをオフにします。 |
ステップ 3 | [保存(Save)] をクリックします。 |
次に、Firepower のシャーシへの Telnet アクセスを有効または無効にする手順を示します。Telnet はデフォルトで無効になっています。
(注) |
現在、Telnet は CLI を使用してのみ設定できます。 |
ステップ 1 |
システム モードに入ります。 Firepower-chassis #scope system |
ステップ 2 |
システム サービス モードに入ります。 Firepower-chassis /system #scope services |
ステップ 3 | Firepower のシャーシへの Telnet アクセスを設定するには、次のいずれかを実行します。 |
ステップ 4 |
トランザクションをシステムの設定に対して確定します。 Firepower /system/services # commit-buffer |
次に、Telnet を有効にし、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /services # enable telnet-server Firepower-chassis /services* # commit-buffer Firepower-chassis /services #
[SNMP] ページを使用して、Firepower のシャーシ上に Simple Network Management Protocol(SNMP)を設定します。詳細については、次のトピックを参照してください。
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム
SNMP エージェント:Firepower のデータを維持し、必要に応じてそのデータを SNMP マネージャに報告する Firepower シャーシ内のソフトウェア コンポーネント。Firepower シャーシには、エージェントと一連の MIB が含まれています。SNMP エージェントを有効にし、マネージャとエージェント間のリレーションシップを作成するには、Firepower Chassis Manager または FXOS CLI で SNMP を有効にし、設定します。
管理情報ベース:SNMP エージェントの一連の管理対象オブジェクト。
Firepower シャーシは、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。これらの通知では、要求を SNMP マネージャから送信する必要はありません。通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Firepower のシャーシは、トラップまたはインフォームとして SNMP 通知を生成します。SNMP マネージャはトラップ受信時に確認応答を送信せず、Firepower のシャーシはトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認応答します。Firepower のシャーシが PDU を受信しない場合、インフォーム要求を再送できます。
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。セキュリティ モデルと選択したセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。権限レベルは、開示されないようメッセージを保護する必要があるか、またはメッセージを認証する必要があるかどうかを決定します。サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
モデル |
レベル |
認証 |
暗号化 |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング |
なし |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング |
なし |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
[ユーザ名(Username)] |
なし |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-SHA |
なし |
HMAC セキュア ハッシュ アルゴリズム(SHA)に基づいて認証します。 |
v3 |
authPriv |
HMAC-SHA |
DES |
HMAC-SHA アルゴリズムに基づいて認証します。データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。SNMPv3 ユーザベース セキュリティ モデル(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
Firepower のシャーシは、SNMP に次のサポートを提供します。
Firepower のシャーシは、MIB への読み取り専用アクセスをサポートします。
Firepower のシャーシは、SNMPv3 ユーザのHMAC-SHA-96(SHA)認証プロトコルをサポートします。
Firepower のシャーシは、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Firepower のシャーシはそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。AES priv パスワードは、8 文字以上にします。パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
ステップ 1 | を選択します。 | ||||||||||||
ステップ 2 |
[SNMP] 領域で、次のフィールドに入力します。
|
||||||||||||
ステップ 3 | [保存(Save)] をクリックします。 |
SNMP トラップおよびユーザを作成します。
ステップ 1 | を選択します。 | ||||||||||||||
ステップ 2 | [SNMP トラップ(SNMP Traps)] 領域で、[追加(Add)] をクリックします。 | ||||||||||||||
ステップ 3 |
[Add SNMP Trap] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||||||||||
ステップ 4 | [OK] をクリックして [SNMP トラップの追加(Add SNMP Trap)] ダイアログボックスを閉じます。 | ||||||||||||||
ステップ 5 | [保存(Save)] をクリックします。 |
ステップ 1 | を選択します。 |
ステップ 2 | [SNMP トラップ(SNMP Traps)] 領域で、削除するトラップに対応するテーブルの行にある [削除(Delete)] アイコンをクリックします。 |
ステップ 1 | を選択します。 | ||||||||||||||||
ステップ 2 | [SNMP ユーザ(SNMP Users)] 領域で、[追加(Add)] をクリックします。 | ||||||||||||||||
ステップ 3 |
[SNMP ユーザの追加(Add SNMP User)] ダイアログボックスで、次のフィールドに値を入力します。
|
||||||||||||||||
ステップ 4 | [OK] をクリックして [SNMP ユーザの追加(Add SNMP User)] ダイアログボックスを閉じます。 | ||||||||||||||||
ステップ 5 | [保存(Save)] をクリックします。 |
ステップ 1 | を選択します。 |
ステップ 2 | [SNMP ユーザ(SNMP Users)] 領域で、削除するユーザに対応するテーブルの行にある [削除(Delete)] アイコンをクリックします。 |
デフォルトでは、HTTPS サービスはポート 443 で有効になっています。HTTPS を無効にすることはできませんが、HTTPS 接続に使用するポートは変更できます。
ステップ 1 | を選択します。 |
ステップ 2 | [ポート(Port)] フィールドに、HTTPS 接続に使用するポートを入力します。1 ~ 65535 の整数を指定します。このサービスは、デフォルトでポート 443 でイネーブルになります。 |
ステップ 3 |
[保存(Save)] をクリックします。 Firepower のシャーシが指定した HTTPS ポートで設定されます。 HTTPS ポートを変更した後に、現在のすべての HTTPS セッションが閉じられます。ユーザは、次に示すように新しいポートを使用して Firepower Chassis Manager にログインし直す必要があります。 https://<chassis_mgmt_ip_address>:<chassis_mgmt_port> ここで、<chassis_mgmt_ip_address> は初期設定時に入力した Firepower のシャーシの IP アドレスまたはホスト名、<chassis_mgmt_port> は直前に設定した HTTPS ポートです。 |
ここでは、認証、許可、およびアカウンティングについて説明します。詳細については、次のトピックを参照してください。
AAA は、コンピュータ リソースへのアクセスを制御するための一連のサービスで、ポリシーを適用し、使用状況を評価し、サービスの課金に必要な情報を提供します。これらのプロセスは、効果的なネットワーク管理およびセキュリティにとって重要と見なされています。
認証はユーザを特定する方法です。アクセスが許可されるには、ユーザは通常、有効なユーザ名と有効なパスワードが必要です。AAA サーバは、ユーザのクレデンシャルとデータベースに保存されている他のユーザ クレデンシャルとを比較します。クレデンシャルが一致した場合は、ユーザはネットワークへのアクセスが許可されます。クレデンシャルが一致しない場合は、認証は失敗し、ネットワーク アクセスは拒否されます。
シャーシへの管理接続を認証するように Firepower アプライアンス を設定できます。これには、次のセッションが含まれます。
許可はポリシーを適用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザが持っているのかを判断します。ユーザが認証されると、そのユーザはさまざまなタイプのアクセスやアクティビティを許可される可能性があります。
アカウンティングは、アクセス時にユーザが消費したリソースを測定します。これには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。
認証だけで使用することも、許可およびアカウンティングとともに使用することもできます。許可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および許可とともに使用することもできます。
AAA サーバは、アクセス制御に使用されるネットワーク サーバです。認証は、ユーザを識別します。許可は、認証されたユーザがアクセスする可能性があるリソースとサービスを決定するポリシーを実装します。アカウンティングは、課金と分析に使用される時間とデータのリソースを追跡します。
Firepower のシャーシは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。AAA サーバの代わりにローカル データベースを使用して、ユーザ認証、許可、アカウンティングを提供することもできます。
このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
ステップ 1 | を選択します。 | ||||||||||
ステップ 2 | [LDAP] タブをクリックします。 | ||||||||||
ステップ 3 |
[プロパティ(Properties)] 領域で、次のフィールドに値を入力します。
|
||||||||||
ステップ 4 | [保存(Save)] をクリックします。 |
LDAP プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の LDAP プロバイダーをサポートします。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
ステップ 1 | を選択します。 |
ステップ 2 | [LDAP] タブをクリックします。 |
ステップ 3 |
追加する LDAP プロバイダーごとに、次の手順を実行します。
|
ステップ 4 | [保存(Save)] をクリックします。 |
ステップ 1 | を選択します。 |
ステップ 2 | [LDAP] タブをクリックします。 |
ステップ 3 | [LDAP プロバイダー(LDAP Providers)] 領域で、削除する LDAP プロバイダーに対応するテーブルの行にある [削除(Delete)] アイコンをクリックします。 |
このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 | を選択します。 | ||||||
ステップ 2 | [RADIUS] タブをクリックします。 | ||||||
ステップ 3 |
[プロパティ(Properties)] 領域で、次のフィールドに値を入力します。
|
||||||
ステップ 4 | [保存(Save)] をクリックします。 |
RADIUS プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の RADIUS プロバイダーをサポートします。
ステップ 1 | を選択します。 |
ステップ 2 | [RADIUS] タブをクリックします。 |
ステップ 3 |
追加する各 RADIUS プロバイダーに、次の手順を実行します。
|
ステップ 4 | [保存(Save)] をクリックします。 |
ステップ 1 | を選択します。 |
ステップ 2 | [RADIUS] タブをクリックします。 |
ステップ 3 | [RADIUS プロバイダー(LDAP Providers)] 領域で、削除する RADIUS プロバイダーに対応するテーブルの行にある [削除(Delete)] アイコンをクリックします。 |
このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 | を選択します。 | ||||
ステップ 2 | [TACACS] タブをクリックします。 | ||||
ステップ 3 |
[プロパティ(Properties)] 領域で、次のフィールドに値を入力します。
|
||||
ステップ 4 | [保存(Save)] をクリックします。 |
TACACS+ プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の TACACS+ プロバイダーをサポートします。
ステップ 1 | を選択します。 |
ステップ 2 | [TACACS] タブをクリックします。 |
ステップ 3 |
追加する各 TACACS+ プロバイダーに、次の手順を実行します。
|
ステップ 4 | [保存(Save)] をクリックします。 |
ステップ 1 | を選択します。 |
ステップ 2 | [TACACS] タブをクリックします。 |
ステップ 3 | [TACACS プロバイダー(TACACS Providers)] 領域で、削除する TACACS+ プロバイダーに対応するテーブルの行にある [削除(Delete)] アイコンをクリックします。 |
システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央 syslog サーバへのロギングは、ログおよびアラートの集約に役立ちます。syslog サービスは、シンプル コンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、保護された長期的な保存場所をログに提供します。ログは、ルーチンのトラブルシューティングおよびインシデント処理の両方で役立ちます。
ステップ 1 | を選択します。 |
ステップ 2 |
ローカル宛先を設定します。
|
ステップ 3 |
リモート宛先を設定します。
|
ステップ 4 |
ローカル送信元を設定します。
|
システムが IP アドレスへのホスト名の解決を必要とする場合、DNS サーバを指定する必要があります。たとえば、DNS サーバを設定していないと、Firepower シャーシに関する設定を行うときに、www.cisco.com などの名前を使用できません。サーバの IP アドレスを使用する必要があります。これには、IPv4 または IPv6 アドレスのいずれかを使用できます。最大 4 台の DNS サーバを設定できます。
(注) |
複数の DNS サーバを設定する場合、システムによるサーバの検索順はランダムになります。ローカル管理コマンドが DNS サーバの検索を必要とする場合は、3 台の DNS サーバをランダムに検索します。 |
ステップ 1 | を選択します。 |
ステップ 2 | [DNS サーバを有効にする(Enable Edge Server)] チェックボックスをオンにします。 |
ステップ 3 | 最大で 4 台の追加する DNS サーバごとに、DNS サーバの IP アドレスを [DNS サーバ(DNS Server)] フィールドに入力し、[追加(Add)] をクリックします。 |
ステップ 4 | [保存(Save)] をクリックします。 |
目次
- プラットフォームの設定
- 日付と時刻の設定
- NTP サーバを使用した日付と時刻の設定
- 手動での日付と時刻の設定
- SSH の設定
- Telnet の設定
- SNMP の設定
- SNMP について
- SNMP 通知
- SNMP セキュリティ レベルおよび権限
- SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
- SNMPv3 セキュリティ機能
- SNMP サポート
- SNMP の有効化と SNMP プロパティの設定
- SNMP トラップの作成
- SNMP トラップの削除
- SNMPv3 ユーザの作成
- SNMPv3 ユーザの削除
- HTTPS ポートの変更
- AAA の設定
- AAA について
- LDAP プロバイダーの設定
- LDAP プロバイダーのプロパティの設定
- LDAP プロバイダーの作成
- LDAP プロバイダーの削除
- RADIUS プロバイダーの設定
- RADIUS プロバイダーのプロパティの設定
- RADIUS プロバイダーの作成
- RADIUS プロバイダーの削除
- TACACS+ プロバイダーの設定
- TACACS+ プロバイダーのプロパティの設定
- TACACS+ プロバイダーの作成
- TACACS+ プロバイダーの削除
- Syslog の設定
- DNS サーバの設定
日付と時刻の設定
日付と時刻を手動で設定したり、NTP サーバを設定したりするには、NTP pageを使用します。シャーシに設定した日付と時刻は、論理デバイスを含めて、シャーシ内の他のコンポーネントと同期されます。
NTP サーバを使用した日付と時刻の設定
手順NTP を利用して階層的なサーバ システムを実現し、ネットワーク システム間の時刻を正確に同期します。このような精度は、CRL の検証など正確なタイム スタンプを含む場合など、時刻が重要な操作で必要になります。
ステップ 1 を選択します。 ステップ 2 Firepower のシャーシに適切なタイムゾーンを [タイムゾーン(Time Zone)] ドロップダウン リストから選択します。 ステップ 3 [時刻源を設定(Set Time Source)] で、[NTP サーバを使用(Use NTP Server)] をクリックし、[NTP サーバ(NTP Server)] フィールドで使用する NTP サーバの IP アドレスまたはホスト名を入力します。 ステップ 4 [保存(Save)] をクリックします。 Firepower のシャーシが指定した NTP サーバで設定されます。
(注) システム時刻を 10 分以上変更するとログアウトされます。そのため、Firepower Chassis Manager に再度ログインする必要があります。
手動での日付と時刻の設定
手順
ステップ 1 を選択します。 ステップ 2 Firepower のシャーシに適切なタイムゾーンを [タイムゾーン(Time Zone)] ドロップダウン リストから選択します。 ステップ 3 [時刻源の設定(Set Time Source)] で、[時刻を手動で設定(Set Time Manually)] をクリックします。 ステップ 4 [日付(Date)] ドロップダウン リストをクリックしてカレンダーを表示し、そのカレンダーで使用可能なコントロールを使用して日付を設定します。 ステップ 5 対応するドロップダウン リストを使用して、時刻を時間、分、および AM/PM で指定します。
ヒント [システム時刻を取得(Get System Time)] をクリックすると、Firepower Chassis Manager への接続に使用するシステムの設定に一致する日付と時刻を設定できます。
ステップ 6 [保存(Save)] をクリックします。 Firepower のシャーシが指定した日付と時刻で設定されます。
(注) システム時刻を 10 分以上変更するとログアウトされます。そのため、Firepower Chassis Manager に再度ログインする必要があります。
Telnet の設定
手順次に、Firepower のシャーシへの Telnet アクセスを有効または無効にする手順を示します。Telnet はデフォルトで無効になっています。
(注)
現在、Telnet は CLI を使用してのみ設定できます。
ステップ 1 システム モードに入ります。 Firepower-chassis #scope system
ステップ 2 システム サービス モードに入ります。 Firepower-chassis /system #scope services
ステップ 3 Firepower のシャーシへの Telnet アクセスを設定するには、次のいずれかを実行します。 ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower /system/services # commit-buffer
SNMP の設定
[SNMP] ページを使用して、Firepower のシャーシ上に Simple Network Management Protocol(SNMP)を設定します。詳細については、次のトピックを参照してください。
- SNMP について
- SNMP 通知
- SNMP セキュリティ レベルおよび権限
- SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
- SNMPv3 セキュリティ機能
- SNMP サポート
- SNMP の有効化と SNMP プロパティの設定
- SNMP トラップの作成
- SNMP トラップの削除
- SNMPv3 ユーザの作成
- SNMPv3 ユーザの削除
SNMP について
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム
SNMP エージェント:Firepower のデータを維持し、必要に応じてそのデータを SNMP マネージャに報告する Firepower シャーシ内のソフトウェア コンポーネント。Firepower シャーシには、エージェントと一連の MIB が含まれています。SNMP エージェントを有効にし、マネージャとエージェント間のリレーションシップを作成するには、Firepower Chassis Manager または FXOS CLI で SNMP を有効にし、設定します。
管理情報ベース:SNMP エージェントの一連の管理対象オブジェクト。
Firepower シャーシは、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP 通知
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。これらの通知では、要求を SNMP マネージャから送信する必要はありません。通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Firepower のシャーシは、トラップまたはインフォームとして SNMP 通知を生成します。SNMP マネージャはトラップ受信時に確認応答を送信せず、Firepower のシャーシはトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認応答します。Firepower のシャーシが PDU を受信しない場合、インフォーム要求を再送できます。
SNMP セキュリティ レベルおよび権限
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。セキュリティ モデルと選択したセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。権限レベルは、開示されないようメッセージを保護する必要があるか、またはメッセージを認証する必要があるかどうかを決定します。サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
表 1 SNMP セキュリティ モデルおよびセキュリティ レベル モデル
レベル
認証
暗号化
結果
v1
noAuthNoPriv
コミュニティ ストリング
なし
コミュニティ ストリングの照合を使用して認証します。
v2c
noAuthNoPriv
コミュニティ ストリング
なし
コミュニティ ストリングの照合を使用して認証します。
v3
noAuthNoPriv
[ユーザ名(Username)]
なし
ユーザ名の照合を使用して認証します。
v3
authNoPriv
HMAC-SHA
なし
HMAC セキュア ハッシュ アルゴリズム(SHA)に基づいて認証します。
v3
authPriv
HMAC-SHA
DES
HMAC-SHA アルゴリズムに基づいて認証します。データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。
SNMPv3 セキュリティ機能
SNMP サポート
Firepower のシャーシは、SNMP に次のサポートを提供します。
SNMPv3 ユーザの AES プライバシー プロトコル
Firepower のシャーシは、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Firepower のシャーシはそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。AES priv パスワードは、8 文字以上にします。パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
SNMP の有効化と SNMP プロパティの設定
手順
ステップ 1 を選択します。 ステップ 2 [SNMP] 領域で、次のフィールドに入力します。
名前 説明 [管理状態(Admin State)] チェックボックス
SNMP を有効にするか無効にするか。システムに SNMP サーバとの統合が含まれる場合にだけこのサービスをイネーブルにします。
[ポート(Port)] フィールド
Firepower のシャーシが SNMP ホストと通信するためのポート。デフォルト ポートは変更できません。
[コミュニティ/ユーザ名(Community/Username)] フィールド
Firepower のシャーシが SNMP ホストに送信するトラップ メッセージに含まれるデフォルトの SNMP v1 または v2c コミュニティの名前、あるいは SNMP v3 のユーザ名。
1 ~ 32 文字の英数字文字列を入力します。@(アット マーク)、\(バックスラッシュ)、"(二重引用符)、?(疑問符)または空欄スペースは使用しないでください。デフォルトは public です。
[システム管理者名(System Administrator Name)] フィールド
SNMP の実装担当者の連絡先。
電子メール アドレスまたは名前と電話番号など、最大 255 文字の文字列を入力します。
[ロケーション(Location)] フィールド
SNMP エージェント(サーバ)が実行するホストの場所。
最大 510 文字の英数字を入力します。
ステップ 3 [保存(Save)] をクリックします。
次の作業
SNMP トラップおよびユーザを作成します。
SNMP トラップの作成
手順
ステップ 1 を選択します。 ステップ 2 [SNMP トラップ(SNMP Traps)] 領域で、[追加(Add)] をクリックします。 ステップ 3 [Add SNMP Trap] ダイアログボックスで、次のフィールドに値を入力します。
名前 説明 [Host Name] フィールド
[コミュニティ/ユーザ名(Community/Username)] フィールド
Firepower のシャーシ がトラップを SNMP ホストに送信するときに含める SNMP v1 または v2c のコミュニティ名または SNMP v3 のユーザ名。これは、SNMP サービスに設定されたコミュニティまたはユーザ名と同じである必要があります。
1 ~ 32 文字の英数字文字列を入力します。@(アット マーク)、\(バックスラッシュ)、"(二重引用符)、?(疑問符)または空欄スペースは使用しないでください。
[ポート(Port)] フィールド
Firepower のシャーシがトラップのために SNMP ホストと通信するポート。
1 ~ 65535 の整数を入力します。
[Version] フィールド
トラップに使用される SNMP バージョンおよびモデル。次のいずれかになります。
[タイプ(Type)] フィールド
バージョンとして [V2] または [V3] を選択した場合に、送信するトラップのタイプ。次のいずれかになります。
[v3 特権(v3 Privilege)] フィールド
バージョンとして [V3] を選択した場合に、トラップに関連付ける権限。次のいずれかになります。
ステップ 4 [OK] をクリックして [SNMP トラップの追加(Add SNMP Trap)] ダイアログボックスを閉じます。 ステップ 5 [保存(Save)] をクリックします。
SNMPv3 ユーザの作成
手順
ステップ 1 を選択します。 ステップ 2 [SNMP ユーザ(SNMP Users)] 領域で、[追加(Add)] をクリックします。 ステップ 3 [SNMP ユーザの追加(Add SNMP User)] ダイアログボックスで、次のフィールドに値を入力します。
名前 [説明(Description)] [名前(Name)] フィールド
SNMP ユーザに割り当てられるユーザ名。
32 文字までの文字または数字を入力します。名前は文字で始まる必要があり、_(アンダースコア)、.(ピリオド)、@(アット マーク)、および -(ハイフン)も指定できます。
[Auth Type] フィールド
許可タイプ:SHA。
[Use AES-128] チェックボックス
オンにすると、このユーザに AES-128 暗号化が使用されます。
[パスワード(Password)] フィールド
このユーザのパスワード。
[パスワードの確認(Confirm Password)] フィールド
確認のためのパスワードの再入力。
[Privacy Password] フィールド
このユーザのプライバシー パスワード。
[Confirm Privacy Password] フィールド
確認のためのプライバシー パスワードの再入力。
ステップ 4 [OK] をクリックして [SNMP ユーザの追加(Add SNMP User)] ダイアログボックスを閉じます。 ステップ 5 [保存(Save)] をクリックします。
HTTPS ポートの変更
手順
ステップ 1 を選択します。 ステップ 2 [ポート(Port)] フィールドに、HTTPS 接続に使用するポートを入力します。1 ~ 65535 の整数を指定します。このサービスは、デフォルトでポート 443 でイネーブルになります。 ステップ 3 [保存(Save)] をクリックします。 Firepower のシャーシが指定した HTTPS ポートで設定されます。
HTTPS ポートを変更した後に、現在のすべての HTTPS セッションが閉じられます。ユーザは、次に示すように新しいポートを使用して Firepower Chassis Manager にログインし直す必要があります。
https://<chassis_mgmt_ip_address>:<chassis_mgmt_port>
ここで、<chassis_mgmt_ip_address> は初期設定時に入力した Firepower のシャーシの IP アドレスまたはホスト名、<chassis_mgmt_port> は直前に設定した HTTPS ポートです。
AAA の設定
ここでは、認証、許可、およびアカウンティングについて説明します。詳細については、次のトピックを参照してください。
AAA について
AAA は、コンピュータ リソースへのアクセスを制御するための一連のサービスで、ポリシーを適用し、使用状況を評価し、サービスの課金に必要な情報を提供します。これらのプロセスは、効果的なネットワーク管理およびセキュリティにとって重要と見なされています。
認証
認証はユーザを特定する方法です。アクセスが許可されるには、ユーザは通常、有効なユーザ名と有効なパスワードが必要です。AAA サーバは、ユーザのクレデンシャルとデータベースに保存されている他のユーザ クレデンシャルとを比較します。クレデンシャルが一致した場合は、ユーザはネットワークへのアクセスが許可されます。クレデンシャルが一致しない場合は、認証は失敗し、ネットワーク アクセスは拒否されます。
シャーシへの管理接続を認証するように Firepower アプライアンス を設定できます。これには、次のセッションが含まれます。
承認
許可はポリシーを適用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザが持っているのかを判断します。ユーザが認証されると、そのユーザはさまざまなタイプのアクセスやアクティビティを許可される可能性があります。
アカウンティング
アカウンティングは、アクセス時にユーザが消費したリソースを測定します。これには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。
認証、許可、アカウンティング間の相互作用
認証だけで使用することも、許可およびアカウンティングとともに使用することもできます。許可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および許可とともに使用することもできます。
LDAP プロバイダーの設定
LDAP プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
ステップ 1 を選択します。 ステップ 2 [LDAP] タブをクリックします。 ステップ 3 [プロパティ(Properties)] 領域で、次のフィールドに値を入力します。
名前 説明 ユーザ ロールとロケールの値を保管する LDAP 属性。このプロパティは、常に、名前と値のペアで指定されます。システムは、ユーザ レコードで、この属性名と一致する値を検索します。
リモート ユーザがログインして、システムがユーザ名に基づいてユーザの DN を取得しようとするときに、サーバが検索を開始する必要がある場合の、LDAP 階層内の特定の識別名。ベース DN は、最大 255 文字から CN= $userid の長さを差し引いた長さに設定することができます。ここで、$userid は、LDAP 認証を使用して Firepower のシャーシへアクセスしようとしているリモート ユーザの識別に使用されます。
このプロパティは必須です。このタブでベース DN を指定しない場合は、定義する LDAP プロバイダーごとにベース DN を指定する必要があります。
LDAP 検索は、定義したフィルタと一致するユーザ名に限定されます。
このプロパティは必須です。このタブでフィルタを指定しない場合は、定義する LDAP プロバイダーごとにフィルタを指定する必要があります。
ステップ 4 [保存(Save)] をクリックします。
次の作業
LDAP プロバイダーを作成します。
RADIUS プロバイダーの設定
RADIUS プロバイダーのプロパティの設定
TACACS+ プロバイダーの設定
TACACS+ プロバイダーのプロパティの設定
Syslog の設定
手順システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央 syslog サーバへのロギングは、ログおよびアラートの集約に役立ちます。syslog サービスは、シンプル コンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、保護された長期的な保存場所をログに提供します。ログは、ルーチンのトラブルシューティングおよびインシデント処理の両方で役立ちます。
ステップ 1 を選択します。 ステップ 2 ローカル宛先を設定します。
ステップ 3 リモート宛先を設定します。
ステップ 4 ローカル送信元を設定します。
DNS サーバの設定
手順システムが IP アドレスへのホスト名の解決を必要とする場合、DNS サーバを指定する必要があります。たとえば、DNS サーバを設定していないと、Firepower シャーシに関する設定を行うときに、www.cisco.com などの名前を使用できません。サーバの IP アドレスを使用する必要があります。これには、IPv4 または IPv6 アドレスのいずれかを使用できます。最大 4 台の DNS サーバを設定できます。
(注)
複数の DNS サーバを設定する場合、システムによるサーバの検索順はランダムになります。ローカル管理コマンドが DNS サーバの検索を必要とする場合は、3 台の DNS サーバをランダムに検索します。
ステップ 1 を選択します。 ステップ 2 [DNS サーバを有効にする(Enable Edge Server)] チェックボックスをオンにします。 ステップ 3 最大で 4 台の追加する DNS サーバごとに、DNS サーバの IP アドレスを [DNS サーバ(DNS Server)] フィールドに入力し、[追加(Add)] をクリックします。 ステップ 4 [保存(Save)] をクリックします。