従来型デバイス用のプラットフォーム設定

次のトピックでは、Firepower プラットフォーム設定について、および従来型デバイスでそれを設定する方法について説明します。

従来型デバイス用のプラットフォーム設定について

管理対象デバイスのプラットフォーム設定はポリシー ベースであるため、複数のデバイスに同じ設定を適用できます。次の従来型デバイスでは Firepower プラットフォーム設定ポリシーを使用します。

  • ASA FirePOWER モジュール

  • NGIPSv

FMC の場合、これらの設定の多くはシステム設定で処理されることに注意してください。システム設定(System Configuration)を参照してください。

表 1. 従来型デバイス用の Firepower プラットフォーム設定

プラットフォーム設定

説明

参照先

アクセス リスト(Access List)

どのコンピュータが特定のポートでシステムにアクセスできるかを制御します。

従来型デバイス用のアクセスリストの設定

監査ログ(Audit Log)

外部ホストに監査ログを送信するようにシステムを設定します。

従来型デバイスからの監査ログのストリーミング

監査ログ証明書

監査ログのセキュアなストリーミングの一部として、従来型デバイスと監査ログ サーバー間の相互認証が必要です。

従来型デバイス用の有効な監査ログ サーバー証明書の要求

ログイン バナー

ユーザーがログインすると表示されるカスタム ログイン バナーを作成します。

従来型デバイス用のログイン バナーのカスタマイズ

シェル タイムアウト

ユーザーのログイン セッションが非アクティブになったためにタイムアウトするまでのアイドル時間の長さを分単位で設定します。

従来型デバイスのセッション タイムアウトの設定

SNMP

Simple Network Management Protocol (SNMP)のポーリングを有効にします。

従来型デバイスでの SNMP ポーリングの設定

時刻の同期

システムの時刻の同期を管理します。

従来型デバイスの時刻を NTP サーバーに同期

UCAPL/CC コンプライアンス

米国国防総省によって設定される特定の要件の順守を有効にします。

セキュリティ認定コンプライアンスの有効化

従来型デバイス用のプラットフォーム設定の要件

ライセンス要件

なし。

モデルの要件

Firepower プラットフォーム設定ポリシーを従来型デバイスに適用できます。

ドメインの要件

なし。

Firepower プラットフォーム設定ポリシーは、任意のドメイン レベルで適用できます。

従来型デバイス用のプラットフォーム設定の構成

管理対象デバイスのプラットフォーム設定はポリシー ベースであるため、複数のデバイスに同じ設定を適用できます。従来型デバイスでは Firepower プラットフォーム設定ポリシーを使用します。

手順

ステップ 1

[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。

従来型デバイス用のプラットフォーム設定についておよびプラットフォーム設定ポリシーの作成を参照してください。
ステップ 2

[ポリシー割り当て(Policy Assignment)] をクリックして、ポリシーを展開する [使用可能なデバイス(Available Devices)] を選択します。

ステップ 3

[ポリシーに追加(Add to Policy)] をクリックして(またはドラッグ アンド ドロップして)、選択したデバイスを追加します。

ステップ 4

[保存(Save)] をクリックします。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

従来型デバイス用のアクセスリストの設定

デフォルトでは、Firepower デバイスへのアクセスは制限されていません。ポート 22(SSH)は、CLI アクセス用に開かれています。

よりセキュアな環境で運用するために、特定の IP アドレスに対するアクセスを追加することを検討してください。さらに、ポート 161 で SNMP 情報をポーリングするためのアクセスも追加できます。

手順

ステップ 1

[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。

ステップ 2

[アクセス リスト(Access List)] をクリックします。

ステップ 3

1 つ以上の IP アドレスへのアクセスを追加するには、[ルールの追加(Add Rules)] をクリックします。

ステップ 4

[IP アドレス(IP Address)] フィールドに、IP アドレスまたはアドレスの範囲を入力するか、any を入力します。

ステップ 5

[SSH]、[HTTPS]、[SNMP]、またはこれらのオプションの組み合わせを選択して、これらの IP アドレスで有効にするポートを指定します。

ステップ 6

[追加(Add)] をクリックします。

ステップ 7

[保存(Save)] をクリックします。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

従来型デバイスからの監査ログのストリーミング

Firepower アプライアンスは、ユーザー インタラクションのレコード(または監査ログ)を生成します。これらの監査ログは、syslog または HTTP サーバーにストリーミングできます。外部 URL に監査情報を送信すると、システム パフォーマンスに影響を与える場合があるので注意してください。

オプションで、Transport Layer Security(TLS)証明書を使用して、Firepower デバイスと信頼できる監査ログ サーバー間の通信を保護することができます。各デバイス(クライアント証明書は一意)については、証明書署名要求(CSR)を生成して、署名のために認証局(CA)に送信してから、署名付き証明書をデバイスにインポートする必要があります。FMC を使用して、管理対象デバイスに監査ログ証明書をインポートすることはできません。これらの証明書は各デバイスに固有のものであり、各デバイスにログインして証明書をインポートする必要があります。

セキュリティを確保するには、グローバルに認識された信頼できる CA を使用します。同じ CA が次の証明書に署名する必要があります。

  • クライアント証明書とサーバー証明書の両方(デバイスと監査ログ サーバー間で相互認証が必要になる場合)。

  • 証明書チェーンの中間証明書。署名 CA から中間 CA を信頼するように要求された場合は、必要な証明書チェーン(証明書パスとも呼ばれる)を提供する必要があります。

監査ログの形式は次のとおりです。

timestamp host [tag] appliance_name: username@ip_address, subsystem, action

次に例を示します。

Mar 01 14:45:24 localhost [FIREPOWER] MyFirepowerAppliance: admin@10.1.1.2, System > Configuration, Page View

タグはオプションであり、ユーザー設定可能であることに注意してください。syslog イベントには、オプションのファシリティと重大度もあります。。

始める前に

デバイスが、監査ログをストリーミングする予定のサーバーと通信できることを確認します。syslog のストリーミングの場合、システムはポート 7/UDP を使用して、設定を保存した際に syslog サーバーが到達可能であることを確認します。次に、システムはポート 514/UDP を使用して監査ログをストリーミングします。 チャネルを保護している場合、システムは 6514/TCP を使用します。

手順

ステップ 1

(オプション)監査ログ サーバーとのセキュアな通信を設定します。

ASA FirePOWER および NGIPSv の場合は、OpenSSL などのツールを使用して CSR を生成してから、CLI を使用して署名付き証明書をインポートすることができます。configure audit_cert import

証明書が正しくインポートされたことを確認するには、 show audit_cert を使用します。

ステップ 2

FMC で、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。

ステップ 3

監査ログのストリーミングを設定するには、[監査ログ(Audit Log)] をクリックします。

syslog のストリーミング:

  1. [監査ログをSyslogに送信(Send Audit Log to Syslog)] を [有効(Enabled)] に設定します。

  2. syslog サーバーの [ホスト(Host)] 情報(IP アドレスまたは完全修飾名)を入力します。

  3. [ファシリティ(Facility)]Syslog アラート ファシリティ)と [重大度(Severity)]syslog 重大度レベル)を選択します。

注目 

[Send Audit Log to Syslog] を有効にして [Host] 情報を指定すると、監査ログに加えて syslog メッセージも設定されたホストに送信されます。監査ログからの syslog のフィルタリングを参照してください。

HTTP のストリーミング:

  1. [監査ログをHTTPサーバーに送信(Send Audit Log to HTTP Server)] を [有効(Enabled)] に設定します。

  2. 監査ログを送信する [監査情報を送信するURL(URL to Post Audit)] を指定します。HTTPS がサポートされています。

    URL は、HTTP POST 変数 subsystemactorevent_typemessageaction_source_ipaction_destination_ipresulttimetag(提供されている場合)を要求するリスナー プログラムに対応している必要があります。

ステップ 4

(オプション)各メッセージに含める [タグ(Tag)] を入力します。たとえば、Firepower 監査ログに Firepower をタグ付けする必要がある場合があります。

ステップ 5

[Save] をクリックします。

syslog のストリーミングを設定した場合、システムは syslog サーバーが到達可能であることを確認します。

次のタスク

従来型デバイス用の有効な監査ログ サーバー証明書の要求

セキュリティを強化するために、Firepower アプライアンスと監査ログ サーバー間の相互認証を要求することを推奨します。相互認証を実現するには、1 つ以上の証明書失効リスト(CRL)をロードします。これらの CRL にリストされている失効した証明書を使用して、サーバーに監査ログをストリーミングすることはできません。

Firepower は、識別符号化規則(DER)形式でエンコードされた CRL をサポートしています。これらの CRL は、システムが FMC Web インターフェイスの HTTPS クライアント証明書を検証するために使用する CRL と同じであることに注意してください。

始める前に

署名付きクライアント証明書を入手し、各デバイスにインポートします。ASA FirePOWER および NGIPSv の場合は、OpenSSL などのツールを使用して CSR を生成してから、CLI を使用して署名付き証明書をインポートすることができます。configure audit_cert import

グローバルに認識された信頼できる CA を使用します。同じ CA が、インポートしたクライアント証明書と、この手順で必要になるサーバー証明書に署名する必要があります。

手順
ステップ 1

[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。

ステップ 2

[監査ログ証明書(Audit Log Certificate)] をクリックします。

ステップ 3

[TLSの有効化(Enable TLS)]、[相互認証の有効化(Enable Mutual Authentication)] の順に選択します。

相互認証を有効にすることをお勧めします。そうしないと、デバイスは検証せずにサーバー証明書を受け入れます。
ステップ 4

[CRLの取得の有効化(Enable Fetching of CRL)] を選択し、CRL ファイルに URL を入力して、[CRLの追加(Add CRL)] をクリックします。

最大 25 個の CRL を追加できます。展開すると、システムは CRL の更新をスケジュールします。更新頻度を設定する場合は、証明書失効リストのダウンロードの設定を参照してください。

ステップ 5

[保存(Save)] をクリックします。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

監査ログからの syslog のフィルタリング

[Send Audit Log to Syslog] を有効にして [Host] 情報を指定すると、監査ログに加えてsyslog メッセージも設定されたホストに送信されます。この動作は、Firepower プラットフォーム設定ポリシーを展開するときに /etc/syslog-ng.d/syslog-tls.conf が作成されるという事実により発生します。これにより、監査ログのみが送信されるのではなく、syslog メッセージも設定されたホストに転送/送信されます。

監査ポリシーでこれらの syslog レコードを必要としない場合は、これらの syslog が設定済みホストにストリーミングされないようにできます。監査ログから syslog をフィルタリングするには、アプライアンスの admin ユーザーアカウントにアクセスできる必要があり、アプライアンスのコンソールにアクセスできる、またはセキュアシェルを開くことができる必要があります。


注意    

許可された担当者だけが、アプライアンスとその admin アカウントにアクセスできることを確認してください。

手順
ステップ 1

/etc/syslog-ng.conf ファイルで、@include "/etc/syslog-ng.d/*.conf" 行をコメントアウトします。

例:
#@include "/etc/syslog-ng.d/*.conf"
ステップ 2

syslog コンフィギュレーション ファイルをリロードします。アプリケーションを再起動せずにコンフィギュレーションファイルをリロードするには、syslog-ng-ctl reload コマンドを使用します。

例:
syslog-ng-ctl reload

従来型デバイス用のログイン バナーのカスタマイズ

従来型デバイス用の CLI ログイン バナーをカスタマイズできます。ログイン バナーが大きすぎる場合や、エラーの原因となる場合、システムがバナーを表示しようとすると、CLI セッションが失敗することがあります。

手順

ステップ 1

[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。

ステップ 2

[ログイン バナー(Login Banner)] を選択します。

ステップ 3

[カスタム ログイン バナー(Custom Login Banner)] フィールドに、使用するログイン バナー テキストを入力します。

タブによるスペース設定は維持されません。
ステップ 4

[保存(Save)] をクリックします。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

従来型デバイスの時刻を NTP サーバーに同期

正常に動作させるには、FMC とその管理対象デバイスのシステム時刻を同期させることが不可欠です。展開に FTD デバイスが含まれている場合は、「脅威に対する防御のための NTP 時刻同期の設定」を参照してください。

デバイスは NTPv4 をサポートします。


注意    
FMC と管理対象デバイスの時刻が同期していないと、意図しない結果になることがあります。

展開後、設定された NTP サーバーと管理対象デバイスを同期するには、数分かかる場合があります。

始める前に

デバイスが、使用予定の NTP サーバーと通信できることを確認します。次のいずれかの操作を実行できます。

  • (推奨)FMC と同じ NTP サーバー(FMC と NTP サーバー間の時刻の同期)を使用します。

    FMC と NTP サーバー間にセキュアな接続を設定する場合でも([Use the authenticated NTP server only])、そのサーバーへのデバイス接続では認証が使用されないことに注意してください。

    このオプションをオンにすると、デバイスは、設定された NTP サーバーから時刻を直接取得します。デバイスに設定された NTP サーバーに何らかの理由で到達できない場合、デバイスは、時刻を FMC と同期させます。

  • デバイスが NTP サーバーに到達できない場合または組織に NTP サーバーがない場合は、次の手順で説明するように、[Management Center の NTP 使用(Via NTP from Management Center)] オプションを使用する必要があります。

手順

ステップ 1

[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。

ステップ 2

[時刻の同期(Time Synchronization)] をクリックします。

ステップ 3

時刻の同期方法を指定します。

  • [Via NTP from]:Firepower Management Center がネットワーク上の NTP サーバーを使用している場合は、このオプションを選択して、[System] > [Configuration] > [Time Synchronization] で指定した NTP サーバーと同じ完全修飾 DNS 名(ntp.example.com など)か IPv4 または IPv6 アドレスを入力します。NTP サーバーに到達できない場合は、Firepower Management Center が NTP サーバーとして機能します。

  • [Management Center の NTP 使用(Via NTP from Management Center)]:(デフォルト)管理対象デバイスは、Firepower Management Center 用に設定された NTP サーバー(認証された NTP サーバーを除く)から時刻を取得し、それらのサーバーと時刻を直接同期します。ただし、次のいずれかに該当する場合、管理対象デバイスは Firepower ManagementCenter と時刻を同期します。

    • Firepower Management Center の NTP サーバーに、デバイスからアクセスできない。

    • Firepower Management Center に、認証されていないサーバーがない。

ステップ 4

[保存(Save)] をクリックします。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

従来型デバイスのセッション タイムアウトの設定

無人ログイン セッションは、セキュリティ上のリスクを生じさせる場合があります。ユーザーのログイン セッションが非アクティブになったためにタイムアウトするまでのアイドル時間を設定できます。最大値は 24 時間(1440 分)です。

手順

ステップ 1

[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。

ステップ 2

[Shell Timeout] をクリックします。

ステップ 3

[Shell Timeout (Minutes)] を入力します。

ステップ 4

[保存(Save)] をクリックします。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

従来型デバイスでの SNMP ポーリングの設定

Simple Network Management Protocol(SNMP)を使用すると、Firepower デバイスの標準 Management Information Base(MIB)にアクセスできます。MIB には、連絡先、管理、場所、サービス情報、IP アドレッシングやルーティングの情報、トランスミッション プロトコルの使用状況の統計などのシステムの詳細が含まれます。SNMP ポーリングを有効にすると、システムで SNMP トラップを送信できなくなり、MIB の情報はネットワーク管理システムによるポーリングのみで使用可能になることに注意してください。

システムは、SNMPv1、v2、および v3 をサポートしています。SNMPv2 は読み取り専用コミュニティのみをサポートし、SNMPv3 は読み取り専用ユーザーのみをサポートしています。SNMPv3 は、AES128 での暗号化をサポートします。

始める前に

使用するコンピュータごとに SNMP アクセスを追加し、システムをポーリングします。従来型デバイス用のアクセスリストの設定を参照してください。


(注)  
SNMP MIB には展開の攻撃に使用される可能性がある情報が含まれています。SNMP アクセスのアクセス リストを MIB のポーリングに使用される特定のホストに制限することを推奨します。SNMPv3 を使用し、ネットワーク管理アクセスには強力なパスワードを使用することも推奨します。

手順

ステップ 1

[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] を選択し、Firepower ポリシーを作成または編集します。

ステップ 2

[SNMP] をクリックします。

ステップ 3

[SNMPバージョン(SNMP Version)] ドロップダウン リストから、使用する SNMP バージョンを選択します。

  • [Version 1] または [Version 2]:[Community String] フィールドに読み取り専用の SNMP コミュニティ名を入力してから、手順の最後までスキップします。
    (注)   

    SNMP コミュニティストリング名には、特殊文字(< > / % # & ? ', etc.)を使用できません。
  • [バージョン3(Version 3)]:[ユーザーを追加(Add User)] をクリックすると、ユーザー定義ページが表示されます。SNMPv3 は、読み取り専用ユーザーと AES128 による暗号化のみをサポートしています。
ステップ 4

ユーザ名を入力します。

ステップ 5

[認証プロトコル(Authentication Protocol)] ドロップダウン リストから、認証に使用するプロトコルを選択します。

ステップ 6

[認証パスワード(Authentication Password)] フィールドに SNMP サーバの認証に必要なパスワードを入力します。

ステップ 7

[パスワードの確認(Verify Password)] フィールドに、認証パスワードを再度入力します。

ステップ 8

使用するプライバシー プロトコルを [プライバシー プロトコル(Privacy Protocol)] リストから選択するか、プライバシー プロトコルを使用しない場合は [なし(None)] を選択します。

ステップ 9

[プライバシー パスワード(Privacy Password)] フィールドに SNMP サーバで必要な SNMP プライバシー キーを入力します。

ステップ 10

[パスワードの確認(Verify Password)] フィールドに、プライバシー パスワードを再度入力します。

ステップ 11

[追加(Add)] をクリックします。

ステップ 12

[保存(Save)] をクリックします。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。