IPS デバイスの展開と設定

以下のトピックでは、IPS 展開でデバイスを設定する方法について説明します。

IPS デバイスの展開と設定の概要

パッシブまたはインラインのいずれかの IPS 展開でデバイスを設定できます。パッシブ展開では、ネットワーク トラフィックのフローからアウト オブ バンドでシステムを展開します。インライン展開では、2 つのポートを一緒にバインドすることで、ネットワーク セグメント上でシステムを透過的に設定します。

IPS デバイス展開のライセンス要件

FTD ライセンス

脅威

従来のライセンス

保護

IPS デバイス展開の要件と前提条件

モデルのサポート

任意

サポートされるドメイン

リーフ

ユーザの役割

  • 管理者

  • ネットワーク管理者

パッシブ IPS 展開

パッシブ(受動)IPS 展開では、Firepower システムはスイッチ SPAN またはミラーポートを使用してネットワークを流れるトラフィックをモニターします。SPAN ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。これにより、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で構成されたシステムでは、特定のアクション(トラフィックのブロッキングやシェーピングなど)を実行することができません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。パッシブインターフェイスは、ローカル SPAN とリモート SPAN(RSPAN)両方のトラフィックをサポートしています。


(注)  

アウトバウンド トラフィックにはフロー制御パケットが含まれています。そのため、アプライアンスのパッシブ インターフェイスにアウトバウンド トラフィックが表示されることがあり、設定によっては、イベントが生成されることもあります。これは正常な動作です。

Firepower システムのパッシブ インターフェイス

管理対象デバイス上の 1 つ以上の物理ポートをパッシブ インターフェイスとして設定できます。

パッシブ インターフェイスがトラフィックをモニターすることを可能にする場合、銅線インターフェイスでのみ使用可能なモードおよび MDI/MDIX 設定を指定します。

パッシブ インターフェイスを無効にする場合、ユーザーはセキュリティのためにアクセスできなくなります。

MTU 値の範囲は管理対象デバイスのモデルとインターフェイス タイプによって異なる場合があります。


注意    

デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

パッシブ インターフェイスの設定

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 2

パッシブインターフェイスを設定するデバイスの横にある をクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

パッシブインターフェイスとして設定するインターフェイスの横にある をクリックします。

ステップ 4

[パッシブ(Passive)] をクリックします。

ステップ 5

セキュリティ ゾーンにパッシブ インターフェイスを関連付けるには、次のいずれかを実行します。

ステップ 6

[有効(Enabled)] チェックボックスをオンにします。

このチェックボックスをオフにすると、インターフェイスは無効になり、ユーザはセキュリティ上の理由によりアクセスできなくなります。

ステップ 7

[MTU] フィールドに最大伝送ユニット(MTU)を入力します。

MTU 値の範囲は管理対象デバイスのモデルとインターフェイス タイプによって異なる場合があります。
注意     

デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

ステップ 8

[保存(Save)] をクリックします。

次のタスク

インライン IPS 展開

インライン IPS 展開では、2 つのポートを一緒にバインドすることで、ネットワーク セグメント上で Firepower システムを透過的に設定します。これによって、隣接するネットワーク デバイスの設定がなくても、任意のネットワーク環境にシステムをインストールできます。インライン インターフェイスはすべてのトラフィックを無条件に受信しますが、これらのインターフェイスで受信されたすべてのトラフィックは、明示的にドロップされない限り、インライン セットの外部に再送信されます。


(注)  

システムがトラフィックに影響を与えるためには、ルーテッド、スイッチド、トランスペアレント インターフェイスまたはインライン インターフェイスのペアを使用して関連する設定を管理対象デバイスに展開する必要があります。

デバイス トラフィックがインバウンドであるかアウトバウンドであるかに応じて、異なるインライン インターフェイス ペアを介してネットワーク上のホストと外部ホスト間のトラフィックをルーティングするように、管理対象デバイスのインターフェイスを設定できます。これは非同期ルーティング設定です。非同期ルーティングを展開し、インライン セットに 1 つのインターフェイス ペアしか含めないと、デバイスがトラフィックの半分しか認識しないため、ネットワーク トラフィックが適切に分析されない可能性があります。

同じインライン インターフェイス セットに複数のインライン インターフェイス ペアを追加すると、システムが着信トラフィックと発信トラフィックを同じトラフィック フローの一部として識別できるようになります。パッシブ インターフェイスでのみ、同じセキュリティ ゾーンにインターフェイス ペアを含めることによっても実現できます。

非同期ルーティング構成を通過するトラフィックから接続イベントが生成された場合、そのイベントは同じインライン インターフェイス ペアの入力インターフェイスと出力インターフェイスを識別できます。たとえば、次の図の構成では、eth3 を入力インターフェイス、eth2 を出力インターフェイスとして識別する接続イベントが生成されます。これは、この構成の予期される動作です。

非同期ルーティングの複数のインターフェイス ペアを示す図


(注)  

単一のインライン インターフェイス セットに複数のインターフェイス ペアを割り当てたときに、重複トラフィックの問題が発生した場合は、システムがパケットを一意に識別できるように再設定します。たとえば、別のインライン セットにインターフェイス ペアを再度割り当てるか、セキュリティ ゾーンを変更できます。

インライン セットを使用するデバイスでは、デバイス再起動後にパケットを転送するようソフトウェア ブリッジが自動的にセットアップされます。デバイスが再起動しているときには、実行中のソフトウェア ブリッジはありません。インライン セットでパイパス モードを有効にすると、デバイスの再起動中にハードウェア バイパスになります。この場合、システムが停止して再起動する際に、デバイスとのリンクの再ネゴシエーションが原因で数秒間のパケットが失われる可能性があります。ただし、Snort の再起動中にシステムはトラフィックを通過させます。

Firepower システムのインライン インターフェイス

管理対象デバイス上の 1 つ以上の物理ポートをインライン インターフェイスとして設定できます。インライン インターフェイスがインライン展開環境のトラフィックを処理するには、その前に、インライン インターフェイスのペアをインライン セットに割り当てる必要があります。

(注)

  • インライン ペアのインターフェイスをそれぞれ異なる速度に設定した場合、またはインターフェイスが異なる速度にネゴシエートされる場合は、システムによって警告が出されます。

  • インターフェイスをインライン インターフェイスとして設定すると、そのインターフェイスの NetMod 上の隣接ポートも自動的にインライン インターフェイスとなり、インライン インターフェイスのペアが完成します。

  • NGIPSv デバイスでインライン インターフェイスを設定するには、隣接するインターフェイスを使用してインライン ペアを作成する必要があります。

インライン インターフェイスの設定

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 2

インターフェイスを設定するデバイスの横にある をクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

設定するインターフェイスの横にある をクリックします。

ステップ 4

[インライン(Inline)] をクリックします。

ステップ 5

インライン インターフェイスをセキュリティ ゾーンと関連付ける場合は、次のいずれかを実行します。

ステップ 6

[インライン セット(Inline Set)] ドロップダウン リストから既存のインライン セットを選択するか、[新規(New)] を選択して新しいインライン セットを追加します。

(注)   

新しいインライン セットを追加する場合は、インライン インターフェイスを設定した後、設定する必要があります。インライン セットの追加を参照してください。

ステップ 7

[有効(Enabled)] チェックボックスをオンにします。

このチェックボックスをオフにすると、インターフェイスは無効になり、ユーザはセキュリティ上の理由によりアクセスできなくなります。

ステップ 8

[保存(Save)] をクリックします。

次のタスク

インライン セット

インライン展開でインラインインターフェイスを使用するには、事前に、インラインセットを設定してインライン インターフェイス ペアをそれらに割り当てる必要があります。インラインセットは、デバイス上の 1 つ以上のインライン インターフェイス ペアからなるグループです。インライン インターフェイス ペアは、一度に 1 つのインラインセットにのみ属することができます。

[デバイス管理(Device Management)] ページの [インラインセット(Inline Sets)] タブには、デバイスに設定されているすべてのインラインセットのリストが表示されます。

[デバイスの管理(Device Management)] ページの [インラインセット(Inline Sets)] タブからインラインセットを追加できます。または、インラインインターフェイスを設定するときにインラインセットを追加できます。

インラインセットにはインライン インターフェイス ペアのみを割り当てることができます。管理対象デバイスでインラインインターフェイスを設定する前にインラインセットを作成する必要がある場合は、空のインラインセットを作成し、後からそれにインターフェイスを追加できます。インラインセットの名前を入力する場合は、英数字とスペースを使用できます。


(注)  

インラインセットのインターフェイスのセキュリティゾーンを追加する前に、インラインセットを作成します。作成していない場合、セキュリティゾーンは削除され、再度追加する必要があります。

名前(Name)

インラインセットの名前。

インターフェイス

インラインセットに割り当てられているすべてのインラインペアのリスト。[インターフェイス(Interfaces)] タブでペアのいずれかのインターフェイスを無効にした場合、そのペアは含まれません。

MTU

インラインセットの最大伝送ユニット。 MTU 値の範囲は管理対象デバイスのモデルとインターフェイス タイプによって異なる場合があります。


注意    

デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

フェールセーフ

Snort プロセスがビジー状態またはダウンしている場合の、NGIPSv デバイス上のインターフェイスの動作。

  • [有効(Enabled)]:Snort プロセスがビジー状態またはダウンしている場合、新規または既存のフローをインスペクションなしで受け渡します。

  • [無効(Disabled)]:Snort プロセスがビジー状態の場合は、新規および既存のフローをドロップし、Snort プロセスがダウンしている場合はフローをインスペクションなしで受け渡します。

トラフィックバッファが満杯の場合、Snort プロセスがビジー状態のことがあります。つまり、管理対象デバイスが処理可能な量を超えたトラフィックが存在するか、またはその他のソフトウェアに問題があることを示しています。

Snort プロセスを再起動する必要がある設定を展開すると、Snort プロセスはダウンします。詳細については、展開またはアクティブ化された際に Snort プロセスを再起動する設定を参照してください。


(注)  

インスペクションを実行せずにトラフィックを受け渡す場合は、Snort プロセスに依存している機能は動作しません。そのような機能には、アプリケーション制御とディープインスペクションが含まれます。システムでは、シンプルかつ容易に判断できるトランスポート層とネットワークの特性を使用して、基本的なアクセスコントロールのみ実行されます。

インライン セットの表示

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 2

インラインセットを表示するデバイスの横にある をクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[インライン セット(Inline Sets)] をクリックします。

インライン セットの追加

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 2

インラインセットを追加するデバイスの横にある をクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[インライン セット(Inline Sets)] をクリックします。

ステップ 4

[インライン セットの追加(Add Inline Set)] をクリックします。

ステップ 5

[名前(Name)] を入力します。

ステップ 6

[インターフェイス(Interfaces)] の横で、1 つ以上のインライン インターフェイス ペアを選択し、選択項目の追加 をクリックします。すべてのインターフェイスペアをインラインセットに追加するには、すべてを追加 をクリックします。

ヒント 
インラインセットからインラインインターフェイスを削除するには、1 つ以上のインライン インターフェイス ペアを選択して、選択項目の削除 をクリックします。インラインセットからすべてのインターフェイスペアを削除するには、すべてを削除 をクリックします。また、[インターフェイス(Interfaces)] でペアのいずれかのインターフェイスを無効にすると、ペアが削除されます。
ステップ 7

[MTU] フィールドに最大伝送ユニット(MTU)を入力します。

MTU 値の範囲は管理対象デバイスのモデルとインターフェイス タイプによって異なる場合があります。
注意     

デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

ステップ 8

Snort プロセスが取り込み中またはダウンしているときに検出をバイパスさせ、デバイス にトラフィックを通すには、[フェールセーフ(Failsafe)] を選択します。 詳細については、インライン セットを参照してください。

内部トラフィック バッファがいっぱいになったが、特定の状況下でデバイスがまだパケットをドロップする可能性がある場合は、インライン セットでデバイスの [フェールセーフ(Failsafe)] を有効にすると、ドロップされたパケットのリスクが大幅に軽減されます。最悪の場合は、デバイスで一時的にネットワークが停止することがあります。

ステップ 9

必要に応じて、詳細な設定を行います。インライン セットの詳細オプション を参照してください。

ステップ 10

[OK] をクリックします。

次のタスク

設定変更を展開します。設定変更の展開を参照してください。

インライン セットの詳細オプション

インライン セットを設定する際に考慮できる詳細オプションがいくつかあります。

トランスペアレント インライン モード(Transparent Inline Mode)

[トランスペアレント インライン モード(Transparent Inline Mode)] オプションを使用すると、デバイスを「Bump In The Wire」として機能させることができます。つまり、デバイスは、送信元と宛先に関係なく、認識するすべてのネットワーク トラフィックを転送するということです。

高度なインライン セット オプションの設定

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 2

インラインセットを編集するデバイスの横にあるをクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[インライン セット(Inline Sets)] をクリックします。

ステップ 4

編集するインラインセットの横にあるをクリックします。

ステップ 5

[詳細設定(Advanced)] をクリックします。

ステップ 6

インライン セットの詳細オプションの説明に従ってオプションを設定します。

(注)   

リンク ステートの伝達と厳密な TCP 適用は、仮想デバイスではサポートされていません。
ステップ 7

[OK] をクリックします。

次のタスク

インライン セットの削除

インライン セットを削除すると、そのセットに割り当てられたインライン インターフェイスを別のセットに含めることができるようになります。それらのインターフェイスは削除されません。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

インラインセットを削除するデバイスの横にあるをクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[インライン セット(Inline Sets)] をクリックします。

ステップ 4

削除するインラインセットの横にあるをクリックします。

ステップ 5

プロンプトが表示されたら、インライン セットを削除することを確認します。

次のタスク