ユーザ アイデンティティ ソース

以下のトピックでは、ユーザ認識のソースである、Firepower システム ユーザのアイデンティティ ソースについて説明しています。これらのユーザは、アイデンティティおよびアクセス コントロール ポリシーで制御できます。

ユーザ アイデンティティ ソースについて

次の表に、Firepower システムでサポートされているユーザ アイデンティティ ソースの概要を示します。各アイデンティティ ソースは、ユーザ認識のためのユーザの記憶域を提供します。これらのユーザは、アイデンティティおよびアクセス コントロール ポリシーで制御できます。

ユーザ アイデンティティ ソース

ポリシー

サーバ要件

タイプ(Type)

認証タイプ(Authentication Type)

ユーザ認識

ユーザ制御

詳細

ユーザ エージェント

アイデンティティ

Microsoft Active Directory

権限のあるログイン

パッシブ

ユーザ エージェントのアイデンティティ ソース

ISE

アイデンティティ

Microsoft Active Directory

権限のあるログイン

パッシブ

ISE アイデンティティ ソース

TS エージェント

アイデンティティ

Microsoft Windows Terminal Server

権限のあるログイン

パッシブ

ターミナル サービス(TS)エージェントのアイデンティティ ソース

キャプティブ ポータル

アイデンティティ

LDAP または

Microsoft Active Directory

権限のあるログイン

Active

キャプティブ ポータルのアイデンティティ ソース

トラフィック ベースの検出

ネットワーク検出

適用対象外

権限のないログイン

適用対象外

[はい(Yes)]

[いいえ(No)]

トラフィック ベース検出のアイデンティティ ソース

展開するアイデンティティ ソースを選択する際には、以下を検討してください。

  • 非 LDAP ユーザ ログインにはトラフィック ベースの検出を使用する必要があります。たとえば、ユーザ エージェントのみを使用してユーザ アクティビティを検出している場合は、非 LDAP ログインを制限しても効果はありません。

  • 失敗したログインまたは認証アクティビティを記録するには、トラフィック ベースの検出またはキャプティブ ポータルを使用する必要があります。失敗したログインまたは認証試行で新しいユーザがデータベース内のユーザのリストに追加されることはありません。

  • キャプティブ ポータルのアイデンティティ ソースには、ルーテッド インターフェイスを備えた管理対象デバイスが必要です。キャプティブ ポータルでインライン(タップ モードとも呼ばれます)インターフェイスを使用することはできません

これらのアイデンティティ ソースからのデータは、Firepower Management Center のユーザ データベースとユーザ アクティビティ データベースに格納されます。Firepower Management Center サーバ ユーザ ダウンロードを設定して、新しいユーザ データがデータベースに自動的かつ定期的にダウンロードされるようにできまます。

必要なアイデンティティ ソースを使用してアイデンティティ ルールを設定したら、各ルールにアクセス コントロール ポリシーを関連付け、ポリシーを有効にするために管理対象デバイスに展開する必要があります。アクセス コントロール ポリシーおよび展開の詳細については、ユーザ条件、レルム条件、および ISE 属性条件(ユーザ制御)を参照してください。

Firepower システムでのユーザ検出の一般情報については、ユーザ アイデンティティについてを参照してください。

ユーザ エージェントのアイデンティティ ソース

ユーザ エージェントは、パッシブ認証方法で、信頼できるアイデンティティ ソース(つまり、信頼された Active Directory サーバでユーザ情報が提供されます)でもあります。ユーザ エージェントは、Firepower システムと統合されると、ユーザが Active Directory クレデンシャルでホストにログインする、またはホストからログアウトするときに、そのユーザをモニタします。ユーザ エージェントから取得されたデータは、ユーザ認識とユーザ制御に使用できます。

ユーザ エージェントは、各ユーザを IP アドレスと関連付けます。これにより、ユーザ条件を使用するアクセス コントロール ルールをトリガーすることができます。1 つのユーザ エージェントを使用して、最大 5 つの Active Directory サーバでユーザ アクティビティをモニタでき、最大 5 つの Firepower Management Center に暗号化データを送信できます。

ユーザ エージェントは失敗したログイン試行を報告しません。

ユーザ エージェントのガイドライン

ユーザ エージェントは、以下を含む段階的な設定が必要です。

  • ユーザ エージェントがインストールされている少なくとも 1 台のコンピュータ 。

  • ユーザ エージェントがインストールされたコンピュータまたは Active Directory サーバと Firepower Management Center との間の接続。

  • ユーザ エージェントからユーザ データを受け取る各 Firepower Management Center で設定されたアイデンティティ レルム。

段階的なユーザ エージェントの設定とサーバの要件の詳細については、『Firepower ユーザ エージェント構成ガイド』を参照してください。


(注)  

コンピュータまたは Active Directory サーバの時間が Firepower Management Center の時間と同期されていることを確認します。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。


Firepower Management Center接続は、ログインとログオフがユーザ エージェントによって検出されたユーザのメタデータを取得可能にするだけでなく、アクセス コントロール ルール内で使用するユーザとグループを指定するためにも使用されます。ユーザ エージェントが特定のユーザ名を除外するように設定されている場合は、そのようなユーザ名のログイン データは Firepower Management Center に報告されません。ユーザ エージェントのデータは、Firepower Management Center のユーザ データベースとユーザ アクティビティ データベースに保存されます。


(注)  

ユーザ エージェントは $ 記号で終わる Active Directory ユーザ名を Firepower Management Centerに送信できません。これらのユーザをモニタする場合は、最後の $ の文字を削除する必要があります。


複数のユーザがリモート セッションを使用してホストにログインしている場合は、エージェントがそのホストからのログインを正確に検出しない場合があります。これを防ぐ方法の詳細については、『Firepower ユーザ エージェント構成ガイド』を参照してください。

ユーザ制御のためのユーザ エージェントの設定

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバルだけ

Admin/Access Admin/Network Admin

ユーザ エージェントの詳細については、ユーザ エージェントのアイデンティティ ソース を参照してください。

始める前に

  • レルムの作成の説明に従って、ユーザ エージェント接続用の Active Directory レルムを設定し、有効にします。

手順


ステップ 1

Firepower Management Center にログインします。

ステップ 2

[システム(System)] > [統合(Integration)] をクリックします。

ステップ 3

[アイデンティティの送信元(Identity Sources)] タブをクリックします。

ステップ 4

[サービス タイプ(Service Type)] に [ユーザ エージェント(User Agent)] をクリックし、ユーザ エージェント接続を有効にします。

(注)   

接続を無効にするには、[なし(None)] をクリックします。

ステップ 5

[新規エージェント(New Agent)] をクリックして新しいエージェントを追加します。

ステップ 6

エージェントをインストールするコンピュータの [ホスト名(Hostname)] または [アドレス(Address)] を入力します。IPv4 アドレスを使用する必要があります。IPv6 アドレスを使用してユーザ エージェントに接続するように Firepower Management Centerを設定することはできません。

ステップ 7

[追加(Add)] をクリックします。

ステップ 8

接続を削除するには、削除アイコン()をクリックして、その削除を確認します。


次のタスク

  • Firepower ユーザ エージェント構成ガイド の説明に従って、ユーザ エージェントの設定を続けます。

  • アイデンティティ ルールの作成の説明に従ってアイデンティティ ルールを設定します。

  • アイデンティティ ポリシーをアクセス コントロール ポリシーに関連付けます(アクセス制御への他のポリシーの関連付け を参照)。

  • 設定変更の導入の説明に従って、使用するアイデンティティ ポリシーとアクセス コントロール ポリシーを管理対象デバイスに展開します。

ユーザ エージェント アイデンティティ ソースのトラブルシューティング

ユーザエージェント接続に問題が起こった場合は、Firepower ユーザ エージェント構成ガイド を確認してください。

このガイドの関連するトラブルシューティング情報については、レルムとユーザのダウンロードのトラブルシューティングユーザ制御のトラブルシューティングを参照してください。

ユーザ エージェントによって報告されるユーザ データに関する問題が発生した場合は、次の点に注意してください。

  • システムはデータがまだデータベースにないユーザ エージェント ユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。ユーザのアクティビティは、システムがユーザのダウンロードでユーザに関する情報の取得に成功するまでルールで処理されず、Web インターフェイスに表示されません。

  • Firepower Management Center のハイ アベイラビリティが設定されており、プライマリが失敗した場合、たとえ以前ユーザを確認できており、Firepower Management Center にダウンロード済みであっても、フェールオーバーダウンタイム中にユーザエージェントが報告したすべてのログインが特定不能となります。未確認のユーザは Firepower Management Center には不明なユーザとして記録されます。ダウンタイム後、[不明(Unknown)] ユーザはアイデンティティ ポリシーのルールに従って再び識別され、処理されます。

ISE アイデンティティ ソース

Cisco Identity Services Engine(ISE)の展開を Firepower システムと統合して、ISE をパッシブ認証に使用できます。

ISE は、信頼できるアイデンティティ ソースで、Active Directory(AD)、LDAP、RADIUS、または RSA を使用して認証するユーザに関するユーザ認識データを提供します。さらに、Active Directory ユーザのユーザ制御を行えます。ISE は、ISE ゲスト サービス ユーザの失敗したログイン試行またはアクティビティは報告しません。


(注)  

Firepower は、マシンの認証をユーザと関連付けないため、AD 認証と同時に 802.1x マシン認証を使用することはできません。802.1x アクティブ ログインを使用する場合は、802.1x アクティブ ログイン(マシンとユーザの両方)だけを報告するように ISE を設定します。このように設定すれば、マシン ログインはシステムに 1 回だけ報告されます。

Cisco ISE の詳細については、Cisco Identity Services Engine Administrator Guideを参照してください。

ISE ガイドライン

Firepower システムで ISE を構成する際に、このセクションで説明されているガイドラインを使用してください。

ISE バージョンと設定の互換性

ご使用の ISE バージョンと設定は、次のように Firepower との統合や相互作用に影響を与えます。

  • ISE サーバと Firepower Management Center の時刻を同期します。そうしないと、システムが予期しない間隔でユーザのタイムアウトを実行する可能性があります。

  • ISE データを使用してユーザ制御を実装するには、レルムの作成の説明に従って、pxGrid のペルソナを想定して ISE サーバのレルムを設定し有効にします。

  • 多数のユーザ グループをモニタするように ISE を設定した場合、システムはメモリ制限のためにグループに基づいてユーザ マッピングをドロップすることがあります。その結果、レルムまたはユーザ条件を使用するルールが想定どおりに実行されない可能性があります。

  • ISE のバージョン 1.3 には、IPv6 対応エンドポイントのサポートが含まれていません。ISE のこのバージョンを実行している場合、ユーザ アイデンティティ データを収集したり、IPv6 対応エンドポイント上で修正を実行したりすることはできません。

  • ISE のバージョン 2.0 パッチ 4 以降には、IPv6 対応エンドポイントのサポートが含まれています。

  • ISE の展開で ISE Endpoint Protection Service(EPS)が有効で設定されている場合は、ISE 接続を使用して、相関ポリシー違反に関与している送信元または宛先ホストに対する ISE EPS 修復を実行できます。

  • ユーザの EPSStatus が変更された後でユーザの SGT を更新するように ISE の展開を設定した場合は、ISE EPS 修復により、Firepower Management Center 上の SGT も更新されます。

システムのこのバージョンと互換性がある特定のバージョンの ISE については、『Cisco Firepower Compatibility Guide』を参照してください。

ISE 属性

ISE 接続を設定すると、ISE 属性データが Firepower Management Center データベースに入力されます。ユーザ認識とユーザ制御に使用できる ISE 属性は、次のとおりです。

セキュリティ グループ タグ(SGT)(Security Group Tag (SGT))

セキュリティ グループ タグ(SGT)は、信頼ネットワーク内のトラフィックの送信元の権限を指定します。Cisco ISE および Cisco TrustSec は、ネットワークに入るときに、セキュリティ グループ アクセス(SGA)と呼ばれる機能を使用して、パケットに SGT 属性を適用します。これらの SGT は、ISE または TrustSec 内のユーザの割り当てられたセキュリティ グループに対応します。ID ソースとして ISE を設定すると、Firepower システムは、これらの SGT を使用してトラフィックをフィルタリングできます。


(注)  

一部のルールでは、カスタム SGT 条件が ISE によって割り当てられなかった SGT 属性にタグ付けされたトラフィックを照合できます。これはユーザ制御とみなされず、アイデンティティ ソースとして ISE を使用しない場合にのみ機能します。カスタム SGT 条件 を参照してください。
エンドポイント ロケーション(Endpoint Location)(またはロケーション IP(Location IP))

[エンドポイント ロケーション(Endpoint Location)] 属性は、ISE によって識別される、ユーザの認証に ISE を使用したネットワーク デバイスの IP アドレスです。

エンドポイント プロファイル(Endpoint Profile)(またはデバイス タイプ(Device Type))

[エンドポイント プロファイル(Endpoint Profile)] 属性は、ISE によって識別されるユーザのエンドポイント デバイス タイプです。

ユーザ制御用 ISE の設定

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

任意(Any)

グローバルだけ

Admin/Access Admin/Network Admin

始める前に

  • レルムの作成の説明に従い、pxGrid ペルソナを想定して ISE サーバのレルムを設定し、有効にします。

  • 暗号化接続を使用して ISE サーバで Firepower Management Center を認証するには、Firepower Management Center のアクセス元となるマシンで証明書データとキーを利用可能にするか、証明書を作成します。

手順


ステップ 1

Firepower Management Center にログインします。

ステップ 2

[システム(System)] > [統合(Integration)] をクリックします。

ステップ 3

[アイデンティティの送信元(Identity Sources)] タブをクリックします。

ステップ 4

[サービス タイプ(Service Type)] で [Identity Services Engine] をクリックし、ISE 接続を有効にします。

(注)   

接続を無効にするには、[なし(None)] をクリックします。

ステップ 5

[プライマリ ホスト名/IP アドレス(Primary Host Name/IP Address)]、およびオプションで [セカンダリ ホスト名/IP アドレス(Secondary Host Name/IP Address)] を入力します。

ステップ 6

[pxGrid サーバ CA(pxGrid Server CA)] および [MNT サーバ CA(MNT Server CA)] リストから該当する認証局を、[FMC サーバ証明書(FMC Server Certificate)] リストから適切な証明書をそれぞれクリックします。また、追加アイコン()をクリックして証明書を追加することもできます。

(注)   

[FMC サーバ証明書(FMC Server Certificate)] には、clientAuth 拡張キー使用値が含まれている必要があります。そうでない場合、拡張キー使用値は含まれていてはなりません。

ステップ 7

(オプション)CIDR ブロック表記を使用して [ISE ネットワーク フィルタ(ISE Network Filter)] を入力します。

ステップ 8

接続をテストするには、[テスト(Test)] をクリックします。

テストが失敗した場合、接続障害に関する詳細については、[その他のログ(Additional Logs)] をクリックします。


次のタスク

  • アイデンティティ ポリシーの作成の説明に従って、制御するユーザおよび他のオプションを、アイデンティティ ポリシーを使って指定します。

  • アクセス制御への他のポリシーの関連付けの説明に従って、アイデンティティ ルールをアクセス コントロール ポリシーに関連付けます。このポリシーは、トラフィックのフィルタリングと、必要に応じて検査を実行します。

  • 設定変更の導入の説明に従って、使用するアイデンティティ ポリシーとアクセス コントロール ポリシーを管理対象デバイスに展開します。

  • ワークフローの使用の説明に従って、ユーザ アクティビティをモニタします。

ISE 設定フィールド

次のフィールドを使用して ISE への接続を設定します。

プライマリおよびセカンダリ ホスト名/IP アドレス(Primary and Secondary Host Name/IP Address)

プライマリ(およびオプションでセカンダリ)ISE サーバのホスト名または IP アドレス。

pxGrid サーバ CA(pxGrid Server CA)

pxGrid フレームワークの認証局。展開にプライマリとセカンダリの pxGrid ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。

MNT サーバ CA(MNT Server CA)

一括ダウンロード実行時の ISE 証明書の認証局。展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。

FMC サーバ証明書(FMC Server Certificate)

ISE への接続時、または一括ダウンロードの実行時に Firepower Management Center が ISE に提供する必要がある証明書およびキー。


(注)  

[FMC サーバ証明書(FMC Server Certificate)] には、clientAuth 拡張キー使用値が含まれている必要があります。そうでない場合、拡張キー使用値は含まれていてはなりません。


ISE ネットワーク フィルタ(ISE Network Filter)

オプションのフィルタで、ISE が Firepower Management Center にレポートするデータを制限するために設定できます。ネットワーク フィルタを指定する場合、ISE はそのフィルタ内のネットワークからデータをレポートします。次の方法でフィルタを指定できます。

  • 任意(Any)のフィルタを指定する場合はフィールドを空白のままにします。

  • CIDR 表記を使用して単一の IPv4 アドレス ブロックを入力します。

  • CIDR 表記を使用して IPv4 アドレス ブロックのリストをカンマで区切って入力します。


(注)  

このバージョンの FirePOWER システムは、ISE のバージョンに関係なく、IPv6 アドレスを使用したフィルタリングをサポートしません。


ISE アイデンティティ ソースのトラブルシューティング

関連の他のトラブルシューティングについては、レルムとユーザのダウンロードのトラブルシューティングおよびユーザ制御のトラブルシューティングを参照してください。

ISE 接続に問題が起こった場合は、次のことを確認してください。

  • ISE と Firepower システムを正常に統合するには、ISE 内の pxGrid アイデンティティ マッピング機能を有効にする必要があります。

  • [FMC サーバ証明書(FMC Server Certificate)] には、[clientAuth] 拡張キー使用値が含まれている必要があります。そうでない場合、拡張キー使用値は含まれていてはなりません。

  • ISE サーバの時刻は、Firepower Management Center の時刻と同期している必要があります。アプライアンスが同期されていないと、予想外の間隔でユーザのタイムアウトが実行される可能性があります。

  • 展開にプライマリとセカンダリの pxGrid ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。

  • 展開にプライマリとセカンダリの MNT ノードがある場合、両方のノードの証明書が同じ認証局によって署名されている必要があります。

  • バージョン 6.0.x からバージョン 6.1.x に更新した後に ISE 接続の問題が発生する場合は、pxGrid サーバの証明書を確認します。バージョン 6.1 が準拠する RFC6125-6.4.4 では、SAN 値が指定されている場合、証明書 CN を無視する必要があります。ISE 展開における pxGrid サーバの証明書に CN 値と 1 つ以上の SAN 値が設定されている場合は、CN 値を削除し、それをさらなる SAN 値として追加します。

ISE によって報告されるユーザ データに関する問題が発生した場合は、次の点に注意してください。

  • システムはデータがまだデータベースにない ISE ユーザのアクティビティを検出すると、サーバからそれらに関する情報を取得します。ISE ユーザから見えるアクティビティは、システムがユーザのダウンロードで情報の取得に成功するまでアクセス コントロール ルールで処理されず、Web インターフェイスに表示されません

  • LDAP、RADIUS、または RSA ドメイン コントローラで認証された ISE ユーザに対するユーザ制御は実行できません。

  • Firepower Management Center は、ISE ゲスト サービス ユーザのユーザ データを受信できません。

  • ISE が TS エージェントと同じユーザをモニタした場合、Firepower Management Center は TS エージェントのデータを優先します。TS エージェントと ISE が同じ IP アドレスによる同一のアクティビティを報告した場合は、TS エージェントのデータのみが Firepower Management Center に記録されます。

  • 使用する ISE バージョンと構成は、Firepower システムでの ISE の使用方法に影響を与えます。詳細については、ISE アイデンティティ ソースを参照してください。

サポートされている機能に問題がある場合は、ISE アイデンティティ ソースで詳細を参照してバージョンの互換性を確認してください。

ターミナル サービス(TS)エージェントのアイデンティティ ソース

TS エージェントはパッシブ認証方式で、Firepower システムでサポートされる権限のあるアイデンティティ ソースの 1 つです。Windows Terminal Server が認証を実行し、TS エージェントがスタンドアロンまたはハイ アベイラビリティの Firepower Management Center にその認証の実行を報告します。

TS エージェントは、Windows Terminal Server にインストールされると、個々のユーザがモニタ対象ネットワークにログインまたはログアウトする際にそのユーザに固有のポート範囲を割り当てます。Firepower Management Center では、この固有のポートを使用して Firepower システムの個々のユーザを識別します。1 つの TS エージェントを使用して、1 つの Windows Terminal Server 上のユーザ アクティビティをモニタし、暗号化データを Firepower Management Center に送信できます。

TS エージェントは失敗したログイン試行を報告しません。TS エージェントから取得されたデータは、ユーザ認識とユーザ制御に使用できます。

TS エージェントのガイドライン

TS エージェントには段階的な設定が必要で、次のものがあります。

  1. TS エージェントがインストールおよび設定された Windows Terminal Server。

  2. サーバがモニタするユーザを対象とする 1 つ以上のアイデンティティ レルム。

TS エージェントは、Microsoft Windows Terminal Server にインストールします。段階的な TS エージェントのインストールと設定、およびサーバと Firepower システムの要件の詳細については、『Cisco Terminal Services (TS) Agent Guide』を参照してください。

TS エージェントのデータは [ユーザ(Users)] テーブル、[ユーザ アクティビティ(User Activity)] テーブル、および [接続イベント(Connection Event)] テーブルに表示され、ユーザ認識とユーザ制御に使用できます。


(注)  

TS エージェントが別のパッシブ認証のアイデンティティ ソース(ユーザ エージェントまたは ISE)と同じユーザをモニタする場合、Firepower Management Center では TS エージェントのデータを優先します。TS エージェントと別のパッシブのアイデンティティ ソースが同じ IP アドレスでアクティビティを報告した場合、TS エージェントのデータだけが Firepower Management Center に記録されます。


TS エージェントのユーザ制御の構成

TS エージェントをユーザ認識およびユーザ制御のアイデンティティ ソースとして使用するには、『Cisco Terminal Services (TS) Agent Guide』の説明に従って TS エージェント ソフトウェアをインストールして構成してください。

次に行う作業:

  • アイデンティティ ポリシーの作成の説明に従い、アイデンティティ ポリシーを使用して、制御するユーザおよびその他のオプションを指定します。

  • アクセス制御への他のポリシーの関連付けの説明に従って、アイデンティティ ルールをアクセス コントロール ポリシーに関連付けます。このポリシーは、トラフィックをフィルタし、オプションで検査します。

  • 設定変更の導入の説明に従って、管理対象デバイスにアイデンティティ ポリシーおよびアクセス コントロール ポリシーを展開します。

  • ワークフローの使用の説明に従って、ユーザ アクティビティをモニタします。

TS エージェント アイデンティティ ソースのトラブルシューティング

関連の他のトラブルシューティングについては、レルムとユーザのダウンロードのトラブルシューティングおよびユーザ制御のトラブルシューティングを参照してください。

TS エージェントと Firepower システムの統合に問題が起こった場合は、次のことを確認してください。

  • TS エージェントサーバと Firepower Management Center の時計を同期させる必要があります。

  • TS エージェントが別のパッシブ認証 ID ソース(ユーザ エージェントまたは ISE)と同じユーザをモニタしている場合、Firepower Management Center は TS エージェントのデータを優先します。TS エージェントとパッシブ ID ソースが同じ IP アドレスによるアクティビティを報告した場合は、TS エージェントのデータのみが Firepower Management Center に記録されます。

トラブルシューティングのすべての情報は、『Cisco Terminal Services (TS) Agent Configuration Guide』を参照してください。

キャプティブ ポータルのアイデンティティ ソース

キャプティブ ポータルは、Firepower システムでサポートされる権限のあるアイデンティティ ソースの 1 つです。これは Firepower システムでサポートされる唯一のアクティブな認証方式であり、ユーザは管理対象デバイスを使用してネットワークに対する認証を行うことができます。

通常、キャプティブ ポータルを使用して、インターネットにアクセスするため、または制限されている内部リソースにアクセスするための認証を要求します。必要に応じて、リソースへのゲスト アクセスを設定することができます。システムはキャプティブ ポータル ユーザを認証した後、それらのユーザのトラフィックをアクセス制御ルールに従って処理します。キャプティブ ポータルは、HTTP および HTTPS のトラフィックのみで認証を行います。


(注)  

キャプティブ ポータルが認証を実行する前に、HTTPS トラフィックを復号化する必要があります。


キャプティブ ポータルはまた、失敗した認証の試行を記録します。失敗した試行で新しいユーザがデータベース内のユーザのリストに追加されることはありません。キャプティブ ポータルで報告される失敗した認証アクティビティのユーザ アクティビティ タイプは [認証失敗ユーザ(Failed Auth User)] です。

キャプティブ ポータルから取得された認証データはユーザ認識とユーザ制御に使用できます。

キャプティブ ポータルのガイドライン

アイデンティティ ポリシーでキャプティブ ポータルを設定して展開すると、指定されたレルムのユーザは以下のデバイスを介して認証を行ってからネットワークにアクセスします。

  • 7000 および 8000 シリーズ デバイス上の仮想ルータ

  • バージョン 9.5(2) 以降で稼働するルーテッド モードの ASA FirePOWER デバイス

  • ルーテッド モードの Firepower Threat Defense デバイス

必要なルーテッド インターフェイス

キャプティブ ポータル アクティブ認証を実行できるのは、ルーテッド インターフェイスが設定されているデバイスのみです。キャプティブ ポータルにルールを設定していて、キャプティブ ポータル デバイスにインライン インターフェイスとルーテッド インターフェイスが含まれている場合は、デバイス上のルーテッド インターフェイスのみを対象とするインターフェイス条件を設定する必要があります。

アクセス コントロール ポリシーで参照されているアイデンティティ ポリシーに 1 つ以上のキャプティブ ポータルのアイデンティティ ルールが含まれ、以下を管理する Firepower Management Centerにポリシーを展開する場合、次のようになります。

  • ルーテッド インターフェイスが設定されている 1 つ以上のデバイスの場合、ポリシー導入は成功し、ルーテッド インターフェイスがアクティブ認証を実行します。

    システムは ASA with FirePOWER デバイスでインターフェイス タイプを検証しません。ASA with FirePOWER デバイス上でインライン(タップ モード)インターフェイスにキャプティブ ポータル ポリシーを適用すると、ポリシーは正常に展開されますが、これらのルールに一致するトラフィック内のユーザは「不明」と識別されます。

  • 1 つ以上の NGIPSv デバイスの場合、ポリシー導入は失敗します。

キャプティブ ポータルとポリシー

アイデンティティ ポリシーのキャプティブ ポータルを設定し、アイデンティティ ルールのアクティブ認証を呼び出します。アイデンティティ ポリシーはアクセス コントロール ポリシーで呼び出されます。

キャプティブ ポータルのいくつかのアイデンティティ ポリシー設定はアクセス コントロール ポリシーの [アクティブ認証(Active Authentication)] タブページで行い、残りの設定はアクセス コントロール ポリシーに関連付けられたアイデンティティ ルールで行います。

アクティブ認証ルールには [アクティブ認証(Active Authentication)] ルール アクションが含まれているか、または [パッシブ認証でユーザを識別できない場合はアクティブ認証を使用する(Use active authentication if passive authentication cannot identify user)] が選択された [パッシブ認証(Passive Authentication)] ルール アクションが含まれています。それぞれのケースで、システムは SSL 復号を透過的に有効化/無効化し、これにより Snort プロセスが再起動します。


注意    

SSL 復号が無効の場合(つまりアクセス コントロール ポリシーに SSL ポリシーが含まれない場合)に、アクティブな最初の認証ルールを追加するか、アクティブな最後の認証ルールを削除すると 設定の変更を展開すると Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

キャプティブ ポータルの要件と制約事項

以下の要件と制約事項に注意してください。

  • システムがサポートするキャプティブ ポータル ログインの数は 1 秒あたり最大 20 です。

  • (ルーテッド モードで ASA バージョン 9.5(2) 以降を実行する)ASA FirePOWER デバイスをキャプティブ ポータルに使用するには、captive-portal ASA CLI コマンドを使用してキャプティブ ポータルでのアクティブ認証を有効にし、『ASA ファイアウォール設定ガイド(バージョン 9.5(2) 以降)』(http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-and-configuration-guides-list.html [英語])の説明に従ってポートを定義します。

  • キャプティブ ポータルに使用する予定のデバイスの IP アドレスおよびポートを宛先とするトラフィックを許可する必要があります。アクセス制御で宛先が許可されない場合、キャプティブ ポータルを使用してトラフィックを認証することはできません。

  • キャプティブ ポータル アクティブ認証を HTTPS トラフィックで行う場合、SSL ポリシーを使用して、認証対象のユーザからのトラフィックを復号する必要があります。キャプティブ ポータル ユーザの Web ブラウザと管理対象デバイス上のキャプティブ ポータル デーモンとの間の接続では、トラフィックを復号できません。この接続は、キャプティブ ポータル ユーザの認証に使用されます。

ユーザ制御のためのキャプティブ ポータルの設定

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス

任意(Any)

Control

任意(NGIPSv を除く)

任意(Any)

Administrator/Access Admin/Network Admin

キャプティブ ポータルの詳細については、キャプティブ ポータルのガイドラインおよびキャプティブ ポータル フィールドを参照してください。

始める前に

  • ルーテッド インターフェイスが設定された 1 つ以上のデバイスが、 Firepower Management Center によって管理されていることを確認します。

    Firepower Management Center で ASA with FirePOWER デバイスを管理している場合には、キャプティブ ポータルのガイドライン を参照してください。

  • レルムの作成の説明に従って Active Directory のレルムを設定し、有効化します。

  • キャプティブ ポータルで暗号化認証を使用するには、Firepower Management Center のアクセス元となるマシンで証明書データとキーを利用可能にするか、PKI オブジェクトを作成します。PKI オブジェクトの作成方法については、PKI オブジェクト を参照してください。

手順


ステップ 1

まだ Firepower Management Center にログインしていない場合は、ログインします。

ステップ 2

キャプティブ ポータル用のアクティブな認証アイデンティティ ルールを作成します。

  1. [ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [アイデンティティ(Identity)] の順にクリックして、アイデンティティ ポリシーを作成または編集します。

  2. (オプション)[カテゴリの追加(Add Category)] をクリックし、そのキャプティブ ポータル アイデンティティ ルール用にカテゴリを追加して、カテゴリの [名前(Name)] を入力します。

  3. [アクティブ認証(Active Authentication)] タブをクリックします。

  4. リストから適切な [サーバ証明書(Server Certificate)] を選択するか、追加アイコン()をクリックして証明書を追加します。

  5. [ポート(Port)] を入力して、[最大ログイン試行回数(Maximum login attempts)] を指定します。(デフォルトで、キャプティブ ポータルはポート 885 を使用します。)

  6. (オプション)キャプティブ ポータル フィールド の説明に従って、[アクティブ認証応答ページ(Active Authentication Response Page)] を選択します。

  7. [保存(Save)] をクリックします。

  8. [ルール(Rules)] タブをクリックします。

  9. [ルールの追加(Add Rule)] をクリックして新しいキャプティブ ポータル アイデンティティ ポリシー ルールを追加するか、編集アイコン()をクリックして既存のルールを編集します。

  10. ルールの [名前(Name)] を入力します。

  11. [アクション(Action)] 一覧から [アクティブ認証(Active Authentication)] をクリックします。

    システムは、非 TCP トラフィックでキャプティブ ポータル アクティブ認証を実施できません。アイデンティティ ルールの [アクション(Action)] が [アクティブ認証(Active Authentication)] である(つまりキャプティブ ポータルを使用している)場合、またはパッシブ認証を使用しており、[レルムおよび設定(Realms & Settings)] タブ ページのオプションで [パッシブ認証でユーザを識別できない場合にアクティブ認証を使用(Use active authentication if passive authentication cannot identify user)] がオンに設定されている場合、TCP ポート制約のみを使用します。

    アイデンティティ ルールの [アクション(Action)]が [パッシブ認証(Passive Authentication)] または [認証なし(No Authentication)] である場合、非 TCP トラフィックに基づいてポート条件を作成できます。

  12. [レルムおよび設定(Realm & Settings)] タブをクリックします。

  13. [レルム(Realms)] 一覧から、ユーザ認証に使用するレルムを選択します。

  14. (オプション)[認証でユーザを識別できない場合はゲストとして識別する(Identify as Guest if authentication cannot identify user)] をオンにします。詳細については、キャプティブ ポータル フィールドを参照してください。

  15. リストから [認証タイプ(Authentication Type)] を 1 つクリックします。

  16. (オプション)キャプティブ ポータルから特定のアプリケーション トラフィックを除外する方法については、キャプティブ ポータルからのアプリケーションの除外を参照してください。

  17. ルール条件タイプの説明に従って、ルールに条件を追加します(ポートやネットワークなど)。

  18. [追加(Add)] をクリックします。

  19. ページの上部にある [保存(Save)] をクリックします。

ステップ 3

キャプティブ ポータル ポート(デフォルトでは TCP 885)上のトラフィックを許可するキャプティブ ポータルに関するアクセス コントロール ポリシーを設定します。

  1. アクセス コントロール ポリシー エディタで、[ルールの追加(Add Rule)] をクリックします。

  2. ルールの [名前(Name)] を入力します。

  3. [アクション(Action)] 一覧から、[許可(Allow)] を選択します。

  4. [ポート(Ports)] タブをクリックします。

  5. [選択した宛先ポート(Selected Destination Ports)] フィールの [プロトコル(Protocol)] 一覧から、[TCP] を選択します。

  6. [ポート(Port)] フィールドに、「885 」と入力します。

  7. [ポート(Port)] フィールドの横にある [追加(Add)] をクリックします。

    次の図は例を示しています。

  8. ページ下部の [追加(Add)] をクリックします。

ステップ 4

レルム内のユーザがキャプティブ ポータルを使用してリソースにアクセスできるようにするには、同じアクセス コントロール ポリシーに別のルールを追加します。

  1. ルール エディタで、[ルールの追加(Add Rule)] をクリックします。

  2. ルールの [名前(Name)] を入力します。

  3. [アクション(Action)] 一覧から、[許可(Allow)] を選択します。

  4. [ユーザ(Users)] タブをクリックします。

  5. [使用可能なレルム(Available Realms)] 一覧で、許可するレルムをクリックします。

  6. レルムが表示されない場合は、(更新)をクリックします。

  7. [使用可能なユーザ(Available Users)] 一覧で、ルールに追加するユーザを選択し、[ルールに追加(Add to Rule)] をクリックします。

  8. (オプション)ルール条件タイプの説明に従って、アクセス コントロール ポリシーに条件を追加します。

  9. [追加(Add)] をクリックします。

  10. [アクセス制御ルール(access control rule)] ページで、[保存(Save)] をクリックします。

  11. ポリシー エディタで、ルールの位置を設定します。クリックしてドラッグするか、または右クリック メニューを使用してカット アンド ペーストを実行します。ルールには 1 から番号が付けられます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールは、そのトラフィックを処理するルールです。適切なルールの順序を指定することで、ネットワーク トラフィックの処理に必要なリソースが削減され、ルールのプリエンプションを回避できます。

ステップ 5

キャプティブ ポータル ユーザが HTTPS プロトコルを使用して Web ページにアクセスできるように、[不明(Unknown)] なユーザ用の SSL 復号化ルールを設定します。

  1. PKI オブジェクトの説明に従って、SSL トラフィックを複合化するための証明書オブジェクトを作成します(まだ作成していない場合)。

  2. [ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [SSL] の順にクリックします。

  3. [新しいポリシー(New Policy)] をクリックします。

  4. ポリシーの [名前(Name)] を入力し、[デフォルトのアクション(Default Action)] を選択します。デフォルトのアクションについては、SSL ポリシーのデフォルト アクションを参照してください。

  5. [保存(Save)] をクリックします。

  6. [ルールの追加(Add Rule)] をクリックします。

  7. ルールの [名前(Name)] を入力します。

  8. [アクション(Action)] 一覧から、[復号-再署名(Decrypt - Resign)] を選択します。

  9. [with] 一覧から、使用する PKI オブジェクトを選択します。

  10. [ユーザ(Users)] タブをクリックします。

  11. [使用可能なレルム(Available Realms)] 一覧の上にある (更新)をクリックします。

  12. [使用可能なレルム(Available Realms)] 一覧で、[特殊なアイデンティティ(Special Identities)] をクリックします。

  13. [使用可能なユーザ(Available Users)] 一覧で、[不明(Unknown)] をクリックします。

  14. [ルールに追加(Add to Rule)] をクリックします。

  15. (オプション)SSL ルールの条件の説明に従って、他のオプションを設定します。

  16. [追加(Add)] をクリックします。

  17. ページの上部にある [保存(Save)] をクリックします。

ステップ 6

アイデンティティ ポリシーと SSL ポリシーをアクセス コントロール ポリシーに関連付けます。(アクセス コントロール ポリシーを新規に作成することも、既存のものを使用することもできます)。

  1. [ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [アクセス コントロール(Access Control)] の順にクリックして、アクセス コントロール ポリシーを作成または編集します。代わりに表示アイコン()が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

  2. 新しいアクセス コントロール ポリシーを作成するか、既存のポリシーを編集します。

  3. ページ上部の [アイデンティティポリシー(Identity Policy)] の横にあるリンクをクリックします。

  4. 一覧から、使用するアイデンティティ ポリシーの名前を選択し、ページ上部にある [保存(Save)] をクリックします。

  5. 上記の手順を繰り返して、使用するキャプティブ ポータル SSL ポリシーをアクセス コントロール ポリシーに関連付けます。

  6. アクセス コントロール ポリシーのターゲット デバイスの設定の説明に従って、管理対象デバイスでそのポリシーをターゲットにします(この手順をまだ行っていない場合)。


次のタスク

  • 設定変更の導入の説明に従って、使用するアイデンティティ ポリシーとアクセス コントロール ポリシーを管理対象デバイスに展開します。

  • ワークフローの使用の説明に従って、ユーザ アクティビティをモニタします。

キャプティブ ポータル フィールド

次のフィールドを使用して、アイデンティティ ポリシーの [アクティブ認証(Active Authentication)] タブでキャプティブ ポータルを設定します。アイデンティティ ルール フィールドも参照してください。

サーバ証明書(Server Certificate)

キャプティブ ポータル デーモンが示すサーバ証明書。

[ポート(Port)]

キャプティブ ポータル接続のために使用するポート番号。ASA FirePOWER デバイスをキャプティブ ポータルに使用しようとする場合は、このフィールドのポート番号が、captive-portal CLI コマンドを使用して ASA FirePOWER デバイスで設定したポート番号と一致していなければなりません。

最大ログイン試行回数(Maximum login attempts)

ユーザのログイン要求がシステムによって拒否されるまでに許容されるログイン試行失敗の最大数。

アクティブ認証回答ページ(Active Authentication Response Page)

キャプティブ ポータル ユーザに対して表示される、システム提供またはカスタムの HTTP 応答ページ。アイデンティティ ポリシーのアクティブ認証設定で [アクティブ認証応答ページ(Active Authentication Response Page)] を選択したら、[HTTP 応答ページ(TTP Response Page)] で 1 つ以上のアイデンティティ ルールを [認証タイプ(Authentication Type)][認証プロトコル(Authentication Protocol)] として設定する必要があります。

システム提供の HTTP 応答ページには、[ユーザ名(Username)] と [パスワード(Password)] フィールドに加え、[ゲストとしてログイン(Login as guest)] ボタンがあり、ユーザはゲストとしてネットワークにアクセスできます。単一のログイン方法を表示するには、カスタム HTTP 応答ページを設定します。

次のオプションから選択します。

  • 汎用的な応答を使用する場合は、[システム提供(System‑provided)] をクリックします。表示アイコン()をクリックすると、このページの HTML コードが表示されます。

  • カスタム応答を作成する場合は、[カスタム(Custom)] をクリックします。システム提供コードを示すウィンドウが表示され、これを置換または変更できます。完了したら、変更を保存します。カスタム ページは、編集アイコン()をクリックすると編集できます。

キャプティブ ポータルからのアプリケーションの除外

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

Control

任意、ただし NGIPSv を除く

任意(Any)

Administrator/Access Admin/Network Admin

アプリケーション(HTTP ユーザ エージェント文字列によって指定される)を選択し、キャプティブ ポータルのアクティブ認証から除外することができます。これにより、選択されたアプリケーションからのトラフィックが認証を受けずにアイデンティティ ポリシーを通過できるようになります。


(注)  

このリストに表示されるのは、User-Agent Exclusion タグが付けられたアプリケーションのみです。


手順

ステップ 1

アイデンティティ ルール エディタ ページの [レルムおよび設定(Realm & Settings)] タブで、[アプリケーション フィルタ(Application Filters)] リストのシスコ提供のフィルタを使用して、フィルタに追加するアプリケーションのリストを絞り込みます。

  • リストを展開および縮小するには、各フィルタ タイプの横にある矢印をクリックします。

  • フィルタ タイプを右クリックし、[すべて選択(Check All)] または [すべて選択解除(Uncheck All)] をクリックします。このリストには、各タイプで選択したフィルタ数が示されることに注意してください。

  • 表示されるフィルタを絞り込むには、[名前で検索(Search by name)] フィールドに検索文字列を入力します。これは、カテゴリとタグの場合に特に有効です。検索をクリアするには、クリア アイコン()をクリックします。

  • フィルタのリストを更新し、選択したフィルタをすべてクリアするには、リロード アイコン()をクリックします。

  • すべてのフィルタと検索フィールドをクリアするには、[すべてのフィルタをクリア(Clear All Filters)] をクリックします。

(注)   

リストには一度に 100 のアプリケーションが表示されます。

ステップ 2

[使用可能なアプリケーション(Available Applications)] リストから、フィルタに追加するアプリケーションを選択します。

  • 前の手順で指定した制約を満たすすべてのアプリケーションを追加するには、[フィルタに一致するすべてのアプリケーション(All apps matching the filter)] を選択します。

  • 表示される個別のアプリケーションを絞り込むには、[名前で検索(Search by name)] フィールドに検索文字列を入力します。検索をクリアするには、クリア アイコン()をクリックします。

  • 使用可能な個別のアプリケーションのリストを参照するには、リストの下部にあるページング アイコンを使用します。

  • アプリケーションのリストを更新し、選択したアプリケーションをすべてクリアするには、リロード アイコン()をクリックします。

ステップ 3

外部認証から除外する、選択したアプリケーションを追加します。クリックしてドラッグするか、[ルールに追加(Add to Rule)] をクリックできます。結果は次のもので構成されています。

  • 選択したアプリケーション フィルタ

  • 選択した個別の使用可能なアプリケーション、または [フィルタに一致するすべてのアプリケーション(All apps matching the filter)]


次のタスク

キャプティブ ポータルのアイデンティティ ソースのトラブルシューティング

関連の他のトラブルシューティングについては、レルムとユーザのダウンロードのトラブルシューティングおよびユーザ制御のトラブルシューティングを参照してください。

キャプティブ ポータルに関する問題が発生した場合は、次の点を確認してください。

  • キャプティブ ポータル サーバの時刻は、Firepower Management Center の時刻と同期している必要があります。

  • 設定済みの DNS 解決があり、Kerberos(または Kerberos をオプションとする場合は HTTP ネゴシエート)キャプティブ ポータルを実行するアイデンティティ ルールを作成する場合は、キャプティブ ポータル デバイスの完全修飾ドメイン名(FQDN)を解決するように DNS サーバを設定する必要があります。FQDN は、DNS 設定時に指定したホスト名と一致する必要があります。

    ASA with FirePOWER Services および Firepower Threat Defense デバイスの場合、FQDN は、キャプティブ ポータルに使用されるルーテッド インターフェイスの IP アドレスに解決される必要があります。

  • Kerberos(または Kerberos をオプションとする場合に HTTP ネゴシエート)を、アイデンティティ ルールの [認証タイプ(Authentication Type)] として選択する場合、選択する [レルム(Realm)] は、Kerberos キャプティブ ポータル アクティブ認証を実行できるように、[アクティブディレクトリ参加ユーザ名(AD Join Username)] と [アクティブディレクトリ参加パスワード(AD Join Password)] を使用して設定する必要があります。

  • アイデンティティ ルールの [認証タイプ(Authentication Type)] として [HTTP 基本(HTTP Basic)] を選択した場合、ネットワーク上のユーザはセッションがタイムアウトしたことを認識しない場合があります。ほとんどの Web ブラウザは、HTTP 基本ログインからクレデンシャルをキャッシュし、古いセッションがタイムアウトした後にシームレスに新しいセッションを開始するためにそのクレデンシャルを使用します。

  • Firepower Management Center と管理対象デバイスとの間の接続に障害が発生した場合、ユーザが以前に認識され Firepower Management Center にダウンロードされた場合を除き、デバイスによって報告されたすべてのキャプティブ ポータル ログインはダウンタイム中に特定できません。識別されていないユーザは、Firepower Management Center で [不明(Unknown)] のユーザとして記録されます。ダウンタイム後、不明のユーザはアイデンティティ ポリシーのルールに従って再確認され、処理されます。

  • キャプティブ ポータルに使用する予定のデバイスにインライン インターフェイスとルーテッド インターフェイスの両方が含まれる場合、キャプティブ ポータル デバイス上でルーテッド インターフェイスだけを対象とするようにキャプティブ ポータル アイデンティティ ルールでゾーン条件を設定する必要があります。

  • システムは ASA with FirePOWER デバイスでインターフェイス タイプを検証しません。ASA with FirePOWER デバイス上でインライン(タップ モード)インターフェイスにキャプティブ ポータル ポリシーを適用すると、ポリシーは正常に展開されますが、これらのルールに一致するトラフィック内のユーザは「不明」と識別されます。

トラフィック ベース検出のアイデンティティ ソース

トラフィック ベース検出は、Firepower システムでサポートされている唯一の権限のないアイデンティティ ソースです。トラフィック ベース検出を設定すると、管理対象デバイスは、指定したネットワークでの LDAP、AIM、POP3、IMAP、Oracle、SIP(VoIP)、FTP、HTTP、MDNS、SMTP のログインを検出します。トラフィック ベースの検出から取得されたデータは、ユーザ認識にのみ使用できます。権威のあるアイデンティティ ソースとは異なり、トラフィック ベースの検出はネットワーク検出ポリシーで設定します。トラフィック ベースのユーザ検出の設定を参照してください。

次の制限事項に注意してください。

  • トラフィック ベースの検出では、LDAP 接続に対する Kerberos ログインのみを LDAP 認証として解釈します。また、管理対象デバイスは、SSL や TLS などのプロトコルを使用して暗号化された LDAP 認証を検出できません。

  • トラフィック ベースの検出では OSCAR プロトコルを使用した AIM ログインだけを検出します。TOC2 を使用する AIM ログインは検出できません。

  • トラフィック ベースの検出では SMTP ロギングを制限することができません。これは、ユーザが SMTP ログインに基づいてデータベースに追加されていないためです。システムが SMTP ログインを検出しても、一致する電子メール アドレスのユーザがデータベース内に存在しなければ、そのログインは記録されません。

トラフィック ベースの検出は、失敗したログイン試行も記録します。失敗ログイン試行で新しいユーザがデータベース内のユーザのリストに追加されることはありません。トラフィック ベースの検出により検出された失敗ログイン アクティビティのユーザ アクティビティ タイプは [失敗したユーザ ログイン(Failed User Login)] です。

(注)  

システムは失敗した HTTP ログインと成功した HTTP ログインを区別できません。HTTP ユーザ情報を表示するには、トラフィック ベースの検出設定で [失敗したログイン試行の取得(Capture Failed Login Attempts)] を有効にする必要があります。



注意    

ネットワーク検出ポリシーを使用して、HTTP、FTP、MDNS プロトコルを介した非権限、トラフィック ベースのユーザ検出を有効/無効にすると 設定の変更を展開すると Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。


トラフィック ベースの検出データ

デバイスがトラフィック ベースの検出を使用してログインを検出すると、次の情報をユーザ アクティビティとして記録するために Firepower Management Centerに送信します。

  • ログインで識別されたユーザ名

  • ログインの時刻

  • ログインに関係する IP アドレス。このアドレスは、ユーザのホスト(LDAP、POP3、IMAP、および AIM ログインの場合)、サーバ(HTTP、MDNS、FTP、SMTP および Oracle ログインの場合)、またはセッション発信元(SIP ログインの場合)の IP アドレスになります。

  • ユーザの電子メール アドレス(POP3、IMAP、および SMTP ログインの場合)

  • ログインを検出したデバイスの名前

ユーザがすでに検出されている場合、Firepower Management Centerはそのユーザのログイン履歴を更新します。Firepower Management Center は POP3 および IMAP ログイン内の電子メール アドレスを使用して LDAP ユーザに関連付ける場合があることに注意してください。これは、Firepower Management Center が新しい IMAP ログインを検出して、その IMAP ログイン内の電子メール アドレスが既存の LDAP ユーザのアドレスと一致した場合は、IMAP ログインで新しいユーザが作成されるのではなく、LDAP ユーザの履歴が更新されることを意味します。

ユーザが以前に検出されなかった場合、Firepower Management Center はユーザ データベースにユーザを追加します。AIM、SIP、Oracle ログインでは、常に新しいユーザ レコードが作成されます。これは、それらのログイン イベントには Firepower Management Center が他のログイン タイプに関連付けることができるデータが含まれていないためです。

Firepower Management Center は、次の場合に、ユーザ アイデンティティまたはユーザ ID を記録しません

  • そのログイン タイプを無視するようにネットワーク検出ポリシーを設定した場合

  • 管理対象デバイスが SMTP ログインを検出したものの、ユーザ データベースに電子メール アドレスが一致する、検出済みの LDAP、POP3、または IMAP ユーザが含まれていない場合

ユーザ データはユーザ テーブルに追加されます。

トラフィック ベースの検出戦略

ユーザ アクティビティを検出するプロトコルを制限して、検出するユーザの総数を削減することにより、ほぼ完全なユーザ情報を提供していると思われるユーザに焦点を絞ることができます。プロトコルの検出を制限すると、ユーザ名の散乱を最小限に抑え、Firepower Management Center 上の記憶域を節約することができます。

トラフィック ベースの検出プロトコルを選択する際には、以下を検討してください。

  • AIM、POP3、IMAP などのプロトコル経由でユーザ名を取得すると、契約業者、訪問者、およびその他のゲストからのネットワーク アクセスによって組織に無関係なユーザ名が収集される可能性があります。

  • AIM、Oracle、および SIP ログインは、無関係なユーザ レコードを作成する可能性があります。この現象は、このようなログイン タイプが、システムが LDAP サーバから取得するユーザ メタデータのいずれにも関連付けられていないうえ、管理対象デバイスが検出するその他のログイン タイプに含まれている情報のいずれにも関連付けられていないために発生します。そのため、Firepower Management Centerは、これらのユーザとその他のユーザ タイプを関連付けることができません。