この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
日付と時刻を手動で設定したり、現在のシステム時刻を表示するには、下記で説明する [NTP] ページの システムのネットワーク タイム プロトコル(NTP)を設定します。
NTP の設定は、Firepower 4100/9300 シャーシとシャーシにインストールされている論理デバイス間で自動的に同期されます。
(注) | Firepower 4100/9300 シャーシに Firepower Threat Defense を導入すると、スマート ライセンスが正しく機能し、デバイス登録に適切なタイムスタンプを確保するように Firepower 4100/9300 シャーシに NTP を設定する必要があります。Firepower 4100/9300 シャーシと Firepower Management Center に同じ NTP サーバを使用する必要があります。 |
NTP を使用すると、[現在の時刻(Current Time)] タブの全体的な同期ステータスを表示できます。または、[時刻の同期(Time Synchronization)] タブの [NTP サーバ(NTP Server)] テーブルの [サーバのステータス(Server Status)] フィールドを見ると、設定済みの各 NTP サーバの同期ステータスを表示できます。システムが特定 NTP サーバと同期できない場合、[サーバのステータス(Server Status)] の横にある情報アイコンにカーソルを合わせると詳細を確認できます。
NTP を使用して階層的なサーバ システムを実現し、ネットワーク システム間の時刻を正確に同期します。このような精度は、CRL の検証など正確なタイム スタンプを含む場合など、時刻が重要な操作で必要になります。最大 4 台の NTP サーバを設定できます。
(注) | FXOS 2.2(2) 以降では NTP バージョン 3 が使用されます。 |
ここでは、Firepower シャーシで日付と時刻を手動で設定する方法ついて説明します。
ステップ 1 | を選択します。 | ||
ステップ 2 | [時刻同期(Time Synchronization)] タブをクリックします。 | ||
ステップ 3 | [時刻源の設定(Set Time Source)] で、[時刻を手動で設定(Set Time Manually)] をクリックします。 | ||
ステップ 4 | [日付(Date)] ドロップダウン リストをクリックしてカレンダーを表示し、そのカレンダーで使用可能なコントロールを使用して日付を設定します。 | ||
ステップ 5 | 時、分、および AM/PM のそれぞれのドロップダウン リストを使用して時間を指定します。
| ||
ステップ 6 | [保存(Save)] をクリックします。
Firepower シャーシが指定した日付と時刻で設定されます。
|
次の手順では、Firepower シャーシへの SSH アクセスを有効または無効にする方法、および FXOS シャーシを SSH クライアントとして有効にする方法について説明します。SSH はデフォルトで有効になっています。
ステップ 1 | を選択します。 | ||
ステップ 2 | Firepower シャーシへの SSH アクセスを有効にするには、[SSH の有効化(Enable SSH)] チェックボックスをオンにします。SSH アクセスを無効にするには、[SSH の有効化(Enable SSH)] チェックボックスをオフにします。 | ||
ステップ 3 | サーバの [暗号化アルゴリズム(Encryption Algorithm)] について、許可される暗号化アルゴリズムごとにチェックボックスをオンにします。
| ||
ステップ 4 | サーバの [キー交換アルゴリズム(Key Exchange Algorithm)] について、許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします。DH キー交換では、いずれの当事者も単独では決定できない共有秘密を使用します。キー交換を署名およびホスト キーと組み合わせることで、ホスト認証が実現します。このキー交換方式により、明示的なサーバ認証が可能となります。DH キー交換の使用方法の詳細については、RFC 4253 を参照してください。 | ||
ステップ 5 | サーバの [Mac アルゴリズム(Mac Algorithm)] について、許可される整合性アルゴリズムごとにチェックボックスをオンにします。 | ||
ステップ 6 | サーバの [ホスト キー(Host Key)] について、RSA キー ペアのモジュラス サイズを入力します。
モジュラス値(ビット単位)は、1024 ~ 2048 の範囲内の 8 の倍数です。指定するキー係数のサイズが大きいほど、RSA キー ペアの生成にかかる時間は長くなります。2048 の値を推奨します。 | ||
ステップ 7 | サーバの [キー再生成のボリューム制限(Volume Rekey Limit)] について、FXOS がセッションを切断する前にその接続で許可されるトラフィックの量を KB 単位で設定します。 | ||
ステップ 8 | サーバの [キー再生成の時間制限(Time Rekey Limit)] では、FXOS がセッションを切断する前に SSH セッションがアイドル状態を続けられる長さを分単位で設定します。 | ||
ステップ 9 | [保存(Save)] をクリックします。 | ||
ステップ 10 | [SSH クライアント(SSH Client)] タブをクリックして、FXOS シャーシの SSH クライアントをカスタマイズします。 | ||
ステップ 11 | [厳密なホスト キー検査(Strict Host Keycheck)] について、[有効(enable)]、[無効(disable)]、または [プロンプト(prompt)] を選択して、SSH ホスト キー チェックを制御します。
| ||
ステップ 12 | クライアントの [暗号化アルゴリズム(Encryption Algorithm)] について、許可される暗号化アルゴリズムごとにチェックボックスをオンにします。
| ||
ステップ 13 | クライアントの [キー交換アルゴリズム(Key Exchange Algorithm)] について、許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします。DH キー交換では、いずれの当事者も単独では決定できない共有秘密を使用します。キー交換を署名およびホスト キーと組み合わせることで、ホスト認証が実現します。このキー交換方式により、明示的なサーバ認証が可能となります。DH キー交換の使用方法の詳細については、RFC 4253 を参照してください。 | ||
ステップ 14 | クライアントの [Mac アルゴリズム(Mac Algorithm)] について、許可される整合性アルゴリズムごとにチェックボックスをオンにします。 | ||
ステップ 15 | クライアントの [キー再生成のボリューム制限(Volume Rekey Limit)] について、FXOS がセッションを切断する前にその接続で許可されるトラフィックの量を KB 単位で設定します。 | ||
ステップ 16 | クライアントの [キー再生成の時間制限(Time Rekey Limit)] について、FXOS がセッションを切断する前に SSH セッションがアイドルであることができる時間を分単位で設定します。 | ||
ステップ 17 | [保存(Save)] をクリックします。 |
次の手順は、Firepower シャーシへの Telnet アクセスを有効または無効にする方法を示しています。デフォルトでは、Telnet はディセーブルになっています。
(注) | 現在、Telnet は CLI を使用してのみ設定できます。 |
次に、Telnet を有効にし、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /services # enable telnet-server Firepower-chassis /services* # commit-buffer Firepower-chassis /services #
[SNMP] ページを使用して、Firepower シャーシ上に Simple Network Management Protocol(SNMP)を設定します。詳細については、次のトピックを参照してください。
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム
SNMP エージェント:Firepower のデータを維持し、必要に応じてそのデータを SNMP マネージャに報告する Firepower シャーシ内のソフトウェア コンポーネント。Firepower シャーシには、エージェントと一連の MIB が含まれています。SNMP エージェントを有効にし、マネージャとエージェント間のリレーションシップを作成するには、Firepower Chassis Manager または FXOS CLI で SNMP を有効にし、設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。
Firepower シャーシは、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。これらの通知では、要求を SNMP マネージャから送信する必要はありません。通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Firepower シャーシは、トラップまたはインフォームとして SNMP 通知を生成します。SNMP マネージャはトラップ受信時に確認応答を送信せず、Firepower シャーシはトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認応答します。Firepower シャーシが PDU を受信しない場合、インフォーム要求を再送できます。
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。セキュリティ モデルと選択したセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。権限レベルは、メッセージが開示されないよう保護または認証の必要があるかどうかを決定します。サポートされるセキュリティ レベルは、セキュリティ モデルが設定されているかによって異なります。SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
モデル |
水準器 |
認証 |
暗号化 |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング |
なし |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング |
なし |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
ユーザ名 |
なし |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-SHA |
なし |
HMAC Secure Hash Algorithm(SHA)に基づいて認証します。 |
v3 |
authPriv |
HMAC-SHA |
DES |
HMAC-SHA アルゴリズムに基づいて認証します。データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。SNMPv3 ユーザベース セキュリティ モデル(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
Firepower シャーシは、SNMP に次のサポートを提供します。
Firepower シャーシは、MIB への読み取り専用アクセスをサポートします。
Firepower シャーシは、SNMPv3 ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします。
Firepower シャーシは、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Firepower シャーシはそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。AES priv パスワードは、8 文字以上にします。パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
ステップ 1 | を選択します。 | ||||||||||||
ステップ 2 | [SNMP] 領域で、次のフィールドに値を入力します。
| ||||||||||||
ステップ 3 | [保存(Save)] をクリックします。 |
SNMP トラップおよびユーザを作成します。
ステップ 1 | を選択します。 | ||||||||||||||
ステップ 2 | [SNMP トラップ(SNMP Traps)] 領域で、[追加(Add)] をクリックします。 | ||||||||||||||
ステップ 3 | [SNMP トラップの追加(Add SNMP Trap)] ダイアログボックスで、次のフィールドに値を入力します。
| ||||||||||||||
ステップ 4 | [OK] をクリックして [SNMP トラップの追加(Add SNMP Trap)] ダイアログボックスを閉じます。 | ||||||||||||||
ステップ 5 | [保存(Save)] をクリックします。 |
ステップ 1 | を選択します。 | ||||||||||||||||
ステップ 2 | [SNMP ユーザ(SNMP Users)] 領域で、[追加(Add)] をクリックします。 | ||||||||||||||||
ステップ 3 | [SNMP ユーザの追加(Add SNMP User)] ダイアログボックスで、次のフィールドに値を入力します。
| ||||||||||||||||
ステップ 4 | [OK] をクリックして [SNMP ユーザの追加(Add SNMP User)] ダイアログボックスを閉じます。 | ||||||||||||||||
ステップ 5 | [保存(Save)] をクリックします。 |
ここでは、Firepower 4100/9300 シャーシ で HTTPS を設定する方法を説明します。
(注) | Firepower Chassis Manager または FXOS CLI を使用して HTTPS ポートを変更できます。他の HTTPS の設定はすべて、FXOS CLI を使用してのみ設定できます。 |
HTTPS は、公開キー インフラストラクチャ(PKI)を使用してクライアントのブラウザと Firepower 4100/9300 シャーシ などの 2 つのデバイス間でセキュアな通信を確立します。
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。暗号キーの長さはさまざまであり、通常の長さは 512 ビット ~ 2048 ビットです。一般的に、短いキーよりも長いキーの方がセキュアになります。FXOS では、最初に 2048 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
セキュアな通信を準備するには、まず 2 つのデバイスがそれぞれのデジタル証明書を交換します。証明書は、デバイスの ID に関する署名済み情報とともにデバイスの公開キーを含むファイルです。暗号化された通信をサポートするために、デバイスは独自のキー ペアと独自の自己署名証明書を生成できます。リモート ユーザが自己署名証明書を提示するデバイスに接続する場合、ユーザはデバイスの ID を簡単に検証することができず、ユーザのブラウザは最初に認証に関する警告を表示します。デフォルトでは、FXOS にはデフォルトのキー リングからの公開キーを含む組み込みの自己署名証明書が含まれます。
FXOS に強力な認証を提供するために、デバイスの ID を証明する信頼できるソース(つまり、トラスト ポイント)からサードパーティ証明書を取得し、インストールできます。サードパーティ証明書は、発行元トラスト ポイント(ルート認証局(CA)、中間 CA、またはルート CA につながるトラスト チェーンの一部となるトラスト アンカーのいずれか)によって署名されます。新しい証明書を取得するには、FXOS で証明書要求を生成し、トラスト ポイントに要求を送信する必要があります。
証明書は、Base64 エンコード X.509(CER)フォーマットである必要があります。
FXOS は、デフォルト キー リングを含め、最大 8 個のキー リングをサポートします。
次の例では、1024 ビットのキー サイズのキー リングを作成します。
Firepower-chassis# scope security Firepower-chassis /security # create keyring kr220 Firepower-chassis /security/keyring* # set modulus mod1024 Firepower-chassis /security/keyring* # commit-buffer Firepower-chassis /security/keyring #
このキー リングの証明書要求を作成します。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
次に、デフォルト キー リングを再生成する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope keyring default Firepower-chassis /security/keyring* # set regenerate yes Firepower-chassis /security/keyring* # commit-buffer Firepower-chassis /security/keyring #
キー リングの証明書要求の作成
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis #scope security |
ステップ 2 | キー リングのコンフィギュレーション モードに入ります。
Firepower-chassis /security # scope keyring keyring-name |
ステップ 3 | 指定された IPv4 または IPv6 アドレス、またはファブリック インターコネクトの名前を使用して証明書要求を作成します。証明書要求のパスワードを入力するように求められます。
Firepower-chassis /security/keyring # create certreq {ip [ipv4-addr | ipv6-v6] |subject-name name} |
ステップ 4 | トランザクションを確定します。
Firepower-chassis /security/keyring/certreq # commit-buffer |
ステップ 5 | コピーしてトラスト アンカーまたは認証局に送信可能な証明書要求を表示します。
Firepower-chassis /security/keyring # show certreq |
次の例では、基本オプション付きのキー リングについて IPv4 アドレスで証明書要求を作成して表示します。
Firepower-chassis# scope security Firepower-chassis /security # scope keyring kr220 Firepower-chassis /security/keyring # create certreq ip 192.168.200.123 subject-name sjc04 Certificate request password: Confirm certificate request password: Firepower-chassis /security/keyring* # commit-buffer Firepower-chassis /security/keyring # show certreq Certificate request subject name: sjc04 Certificate request ip address: 192.168.200.123 Certificate request e-mail name: Certificate request country name: State, province or county (full name): Locality (eg, city): Organization name (eg, company): Organization Unit name (eg, section): Request: -----BEGIN CERTIFICATE REQUEST----- MIIBfTCB5wIBADARMQ8wDQYDVQQDEwZzYW1jMDQwgZ8wDQYJKoZIhvcNAQEBBQAD gY0AMIGJAoGBALpKn1t8qMZO4UGqILKFXQQc2c8b/vW2rnRF8OPhKbhghLA1YZ1F JqcYEG5Yl1+vgohLBTd45s0GC8m4RTLJWHo4SwccAUXQ5Zngf45YtX1WsylwUWV4 0re/zgTk/WCd56RfOBvWR2Dtztu2pGA14sd761zLxt29K7R8mzj6CAUVAgMBAAGg LTArBgkqhkiG9w0BCQ4xHjAcMBoGA1UdEQEB/wQQMA6CBnNhbWMwNIcECsEiXjAN BgkqhkiG9w0BAQQFAAOBgQCsxN0qUHYGFoQw56RwQueLTNPnrndqUwuZHUO03Teg nhsyu4satpyiPqVV9viKZ+spvc6x5PWIcTWgHhH8BimOb/0OKuG8kwfIGGsEDlAv TTYvUP+BZ9OFiPbRIA718S+V8ndXr1HejiQGxlDNqoN+odCXPc5kjoXD0lZTL09H BA== -----END CERTIFICATE REQUEST----- Firepower-chassis /security/keyring #
証明書要求のテキストを BEGIN および END 行を含めてコピーし、ファイルに保存します。キー リングの証明書を取得するため、証明書要求を含むファイルをトラスト アンカーまたは認証局に送信します。
トラスト ポイントを作成し、トラスト アンカーから受け取ったトラストの証明書の証明書チェーンを設定します。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis #scope security |
ステップ 2 | キー リングのコンフィギュレーション モードに入ります。
Firepower-chassis /security # scope keyring keyring-name |
ステップ 3 | 証明書要求を作成します。
Firepower-chassis /security/keyring # createcertreq |
ステップ 4 | 会社が存在している国の国コードを指定します。
Firepower-chassis /security/keyring/certreq* # set country country name |
ステップ 5 | 要求に関連付けられたドメイン ネーム サーバ(DNS)アドレスを指定します。
Firepower-chassis /security/keyring/certreq* # set dns DNS Name |
ステップ 6 | 証明書要求に関連付けられた電子メール アドレスを指定します。
Firepower-chassis /security/keyring/certreq* # set e-mail E-mail name |
ステップ 7 | Firepower 4100/9300 シャーシの IP アドレスを指定します。
Firepower-chassis /security/keyring/certreq* # set ip {certificate request ip-address|certificate request ip6-address } |
ステップ 8 | 証明書を要求している会社の本社が存在する市または町を指定します。
Firepower-chassis /security/keyring/certreq* # set locality locality name (eg, city) |
ステップ 9 | 証明書を要求している組織を指定します。
Firepower-chassis /security/keyring/certreq* # set org-name organization name |
ステップ 10 | 組織ユニットを指定します。
Firepower-chassis /security/keyring/certreq* # set org-unit-name organizational unit name |
ステップ 11 | 証明書要求に関するオプションのパスワードを指定します。
Firepower-chassis /security/keyring/certreq* # set password certificate request password |
ステップ 12 | 証明書を要求している会社の本社が存在する州または行政区分を指定します。
Firepower-chassis /security/keyring/certreq* # set state state, province or county |
ステップ 13 | Firepower 4100/9300 シャーシ の完全修飾ドメイン名を指定します。
Firepower-chassis /security/keyring/certreq* # set subject-name certificate request name |
ステップ 14 | トランザクションを確定します。
Firepower-chassis /security/keyring/certreq # commit-buffer |
ステップ 15 | コピーしてトラスト アンカーまたは認証局に送信可能な証明書要求を表示します。
Firepower-chassis /security/keyring # show certreq |
次の例では、詳細オプション付きのキー リングについて IPv4 アドレスで証明書要求を作成して表示します。
Firepower-chassis# scope security Firepower-chassis /security # scope keyring kr220 Firepower-chassis /security/keyring # create certreq Firepower-chassis /security/keyring/certreq* # set ip 192.168.200.123 Firepower-chassis /security/keyring/certreq* # set subject-name sjc04 Firepower-chassis /security/keyring/certreq* # set country US Firepower-chassis /security/keyring/certreq* # set dns bg1-samc-15A Firepower-chassis /security/keyring/certreq* # set email test@cisco.com Firepower-chassis /security/keyring/certreq* # set locality new york city Firepower-chassis /security/keyring/certreq* # set org-name "Cisco Systems" Firepower-chassis /security/keyring/certreq* # set org-unit-name Testing Firepower-chassis /security/keyring/certreq* # set state new york Firepower-chassis /security/keyring/certreq* # commit-buffer Firepower-chassis /security/keyring/certreq # show certreq Certificate request subject name: sjc04 Certificate request ip address: 192.168.200.123 Certificate request e-mail name: test@cisco.com Certificate request country name: US State, province or county (full name): New York Locality name (eg, city): new york city Organization name (eg, company): Cisco Organization Unit name (eg, section): Testing Request: -----BEGIN CERTIFICATE REQUEST----- MIIBfTCB5wIBADARMQ8wDQYDVQQDEwZzYW1jMDQwgZ8wDQYJKoZIhvcNAQEBBQAD gY0AMIGJAoGBALpKn1t8qMZO4UGqILKFXQQc2c8b/vW2rnRF8OPhKbhghLA1YZ1F JqcYEG5Yl1+vgohLBTd45s0GC8m4RTLJWHo4SwccAUXQ5Zngf45YtX1WsylwUWV4 0re/zgTk/WCd56RfOBvWR2Dtztu2pGA14sd761zLxt29K7R8mzj6CAUVAgMBAAGg LTArBgkqhkiG9w0BCQ4xHjAcMBoGA1UdEQEB/wQQMA6CBnNhbWMwNIcECsEiXjAN BgkqhkiG9w0BAQQFAAOBgQCsxN0qUHYGFoQw56RwQueLTNPnrndqUwuZHUO03Teg nhsyu4satpyiPqVV9viKZ+spvc6x5PWIcTWgHhH8BimOb/0OKuG8kwfIGGsEDlAv TTYvUP+BZ9OFiPbRIA718S+V8ndXr1HejiQGxlDNqoN+odCXPc5kjoXD0lZTL09H BA== -----END CERTIFICATE REQUEST----- Firepower-chassis /security/keyring/certreq #
証明書要求のテキストを BEGIN および END 行を含めてコピーし、ファイルに保存します。キー リングの証明書を取得するため、証明書要求を含むファイルをトラスト アンカーまたは認証局に送信します。
トラスト ポイントを作成し、トラスト アンカーから受け取ったトラストの証明書の証明書チェーンを設定します。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis #scope security |
ステップ 2 | トラストポイントを作成します。
Firepower-chassis /security # createtrustpoint name |
ステップ 3 | このトラスト ポイントの証明書情報を指定します。
Firepower-chassis /security/trustpoint # setcertchain certchain コマンドで証明書情報を指定しない場合、ルート認証局(CA)への認証パスを定義するトラスト ポイントのリストまたは証明書を入力するように求められます。入力内容の次の行に、ENDOFBUF と入力して終了します。 証明書は、Base64 エンコード X.509(CER)フォーマットである必要があります。 |
ステップ 4 | トランザクションを確定します。
Firepower-chassis /security/trustpoint # commit-buffer |
次の例は、トラスト ポイントを作成し、トラスト ポイントに証明書を提供します。
Firepower-chassis# scope security Firepower-chassis /security # create trustpoint tPoint10 Firepower-chassis /security/trustpoint* # set certchain Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. Trustpoint Certificate Chain: > -----BEGIN CERTIFICATE----- > MIIDMDCCApmgAwIBAgIBADANBgkqhkiG9w0BAQQFADB0MQswCQYDVQQGEwJVUzEL > BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT > ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG > 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ > AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU > ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl > GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq > hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD > gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU > Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6 > jtcEMyZ+f7+3yh421ido3nO4MIGeBgNVHSMEgZYwgZOAFLlNjtcEMyZ+f7+3yh42 > 1ido3nO4oXikdjB0MQswCQYDVQQGEwJVUzELMAkGA1UECBMCQ0ExFDASBgNVBAcT > C1NhbnRhIENsYXJhMRswGQYDVQQKExJOdW92YSBTeXN0ZW1zIEluYy4xFDASBgNV > BAsTC0VuZ2luZWVyaW5nMQ8wDQYDVQQDEwZ0ZXN0Q0GCAQAwDAYDVR0TBAUwAwEB > /zANBgkqhkiG9w0BAQQFAAOBgQAhWaRwXNR6B4g6Lsnr+fptHv+WVhB5fKqGQqXc > wR4pYiO4z42/j9Ijenh75tCKMhW51az8copP1EBmOcyuhf5C6vasrenn1ddkkYt4 > PR0vxGc40whuiozBolesmsmjBbedUCwQgdFDWhDIZJwK5+N3x/kfa2EHU6id1avt > 4YL5Jg== > -----END CERTIFICATE----- > ENDOFBUF Firepower-chassis /security/trustpoint* # commit-buffer Firepower-chassis /security/trustpoint #
トラスト アンカーまたは認証局からキー リング証明書を取得し、キー リングにインポートします。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis #scope security |
ステップ 2 | 証明書を受け取るキー リングでコンフィギュレーション モードに入ります。
Firepower-chassis /security # scopekeyring keyring-name |
ステップ 3 | キー リング証明書の取得元のトラスト アンカーまたは認証局に対しトラスト ポイントを指定します。
Firepower-chassis /security/keyring # settrustpoint name |
ステップ 4 | キー リング証明書を入力してアップロードするためのダイアログを起動します。
Firepower-chassis /security/keyring # setcert プロンプトで、トラスト アンカーまたは認証局から受け取った証明書のテキストを貼り付けます。証明書の後の行に ENDOFBUF と入力して、証明書の入力を完了します。 証明書は、Base64 エンコード X.509(CER)フォーマットである必要があります。 |
ステップ 5 | トランザクションを確定します。
Firepower-chassis /security/keyring # commit-buffer |
次に、トラストポイントを指定し、証明書をキー リングにインポートする例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope keyring kr220 Firepower-chassis /security/keyring # set trustpoint tPoint10 Firepower-chassis /security/keyring* # set cert Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. Keyring certificate: > -----BEGIN CERTIFICATE----- > MIIB/zCCAWgCAQAwgZkxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEVMBMGA1UE > BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT > ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG > 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ > AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU > ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl > GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq > hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD > gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU > Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6 > mK3Ku+YiORnv6DhxrOoqau8r/hyI/L43l7IPN1HhOi3oha4= > -----END CERTIFICATE----- > ENDOFBUF Firepower-chassis /security/keyring* # commit-buffer Firepower-chassis /security/keyring #
キー リングを使用して HTTPS サービスを設定します。
注意 | HTTPS で使用するポートとキー リングの変更を含め、HTTPS の設定を完了した後、トランザクションを保存またはコミットするとすぐに、現在のすべての HTTP および HTTPS セッションは警告なく閉じられます。 |
ステップ 1 | システム モードに入ります。
Firepower-chassis# scope system | ||
ステップ 2 | システム サービス モードに入ります。
Firepower-chassis /system # scope services | ||
ステップ 3 | HTTPS サービスを有効にします。
Firepower-chassis /system/services # enable https | ||
ステップ 4 | (任意)
HTTPS 接続で使用されるポートを指定します。
Firepower-chassis /system/services # set https port port-num | ||
ステップ 5 | (任意)
HTTPS に対して作成したキー リングの名前を指定します。
Firepower-chassis /system/services # set https keyring keyring-name | ||
ステップ 6 | (任意)
ドメインで使用される暗号スイート セキュリティのレベルを指定します。
Firepower-chassis /system/services # set https cipher-suite-mode cipher-suite-mode cipher-suite-mode には、以下のいずれかのキーワードを指定できます。 | ||
ステップ 7 | (任意)
cipher-suite-mode が custom に設定されている場合は、ドメインに対してカスタム レベルの暗号スイート セキュリティを指定します。
Firepower-chassis /system/services # set https cipher-suite cipher-suite-spec-string cipher-suite-spec-string は最大 256 文字で構成できます。これは OpenSSL 暗号スイート仕様に準拠する必要があります。次を除き、スペースや特殊文字は使用できません。!(感嘆符)、+(プラス記号)、-(ハイフン)、および :(コロン)。詳細については、http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslciphersuite を参照してください。 たとえば、デフォルトとして FXOS が使用する中強度仕様の文字列は以下となります。ALL:!ADH:!EXPORT56:!LOW:RC4+RSA:+HIGH:+MEDIUM:+EXP:+eNULL
| ||
ステップ 8 | (任意)
証明書失効リスト検査を、有効または無効にします。
setrevoke-policy { relaxed | strict } | ||
ステップ 9 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /system/services # commit-buffer |
次の例では、HTTPS を有効にし、ポート番号を 443 に設定し、キー リング名を kring7984 に設定し、暗号スイートのセキュリティ レベルを高に設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # enable https Firepower-chassis /system/services* # set https port 443 Warning: When committed, this closes all the web sessions. Firepower-chassis /system/services* # set https keyring kring7984 Firepower-chassis /system/services* # set https cipher-suite-mode high Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
デフォルトでは、HTTPS サービスはポート 443 で有効になっています。HTTPS を無効にすることはできませんが、HTTPS 接続に使用するポートは変更できます。
ステップ 1 | を選択します。 |
ステップ 2 | [ポート(Port)] フィールドに、HTTPS 接続に使用するポートを入力します。1 ~ 65535 の範囲内の整数を指定します。このサービスは、デフォルトではポート 443 で有効になっています。 |
ステップ 3 | [保存(Save)] をクリックします。
Firepower シャーシが指定した HTTPS ポートで設定されます。 HTTPS ポートを変更した後に、現在のすべての HTTPS セッションが閉じられます。ユーザは、次のように新しいポートを使用して再度 Firepower Chassis Manager にログインする必要があります。 https://<chassis_mgmt_ip_address>:<chassis_mgmt_port> ここで、<chassis_mgmt_ip_address> は初期設定時に入力した Firepower シャーシの IP アドレスまたはホスト名、<chassis_mgmt_port> は直前に設定した HTTPS ポートです。 |
次の例では、キー リングを削除します。
Firepower-chassis# scope security Firepower-chassis /security # delete keyring key10 Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
トラスト ポイントがキー リングによって使用されていないことを確認してください。
次に、トラスト ポイントを削除する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # delete trustpoint tPoint10 Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
次に、HTTPS を無効にし、トランザクションをコミットする例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # disable https Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
ここでは、認証、許可、およびアカウンティングについて説明します。詳細については、次のトピックを参照してください。
AAA は、コンピュータ リソースへのアクセスを制御するための一連のサービスで、ポリシーを適用し、使用状況を評価し、サービスの課金に必要な情報を提供します。これらのプロセスは、効果的なネットワーク管理およびセキュリティにとって重要と見なされています。
認証はユーザを特定する方法です。アクセスが許可されるには、ユーザは通常、有効なユーザ名と有効なパスワードが必要です。AAA サーバは、ユーザのクレデンシャルとデータベースに保存されている他のユーザ クレデンシャルとを比較します。クレデンシャルが一致した場合は、ユーザはネットワークへのアクセスが許可されます。クレデンシャルが一致しない場合は、認証は失敗し、ネットワーク アクセスは拒否されます。
シャーシへの管理接続を認証するように Firepower 4100/9300 シャーシ を設定できます。これには、次のセッションが含まれます。
許可はポリシーを適用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザが持っているのかを判断します。ユーザが認証されると、そのユーザはさまざまなタイプのアクセスやアクティビティを認可される可能性があります。
アカウンティングは、アクセス時にユーザが消費したリソースを測定します。これには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。
認証だけで使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および認可とともに使用することもできます。
AAA サーバは、アクセス制御に使用されるネットワーク サーバです。認証は、ユーザを識別します。認可は、認証されたユーザがアクセスする可能性があるリソースとサービスを決定するポリシーを実装します。アカウンティングは、課金と分析に使用される時間とデータのリソースを追跡します。
Firepower シャーシは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。AAA サーバの代わりにローカル データベースを使用して、ユーザ認証、認可、アカウンティングを提供することもできます。
このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
ステップ 1 | を選択します。 | ||||||||||
ステップ 2 | [LDAP] タブをクリックします。 | ||||||||||
ステップ 3 | [プロパティ(Properties)] 領域で、次のフィールドに値を入力します。
| ||||||||||
ステップ 4 | [保存(Save)] をクリックします。 |
LDAP プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の LDAP プロバイダーをサポートします。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
RADIUS プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の RADIUS プロバイダーをサポートします。
このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
TACACS+ プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の TACACS+ プロバイダーをサポートします。
システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央 syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。syslog サービスは、簡単なコンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、ログ用の保護された長期ストレージを提供します。ログは、ルーチンのトラブルシューティングおよびインシデント処理の両方で役立ちます。
システムでホスト名の IP アドレスへの解決が必要な場合は、DNS サーバを指定する必要があります。たとえば、DNS サーバを設定していない場合は、Firepower シャーシに関する設定を行うときに、www.cisco.com などの名前を使用できません。サーバの IP アドレスを使用する必要があります。これには、IPv4 または IPv6 アドレスのいずれかを使用できます。最大 4 台の DNS サーバを設定できます。
(注) | 複数の DNS サーバを設定する場合、システムによるサーバの検索順はランダムになります。ローカル管理コマンドが DNS サーバの検索を必要とする場合、3 台の DNS サーバのみをランダムに検索します。 |