セキュリティ、インターネット アクセス、および通信ポート

Defense Center を保護するには、保護された内部ネットワークにそれをインストールしてください。Defense Center は必要なサービスとポートだけを使用するよう設定されますが、ファイアウォール外部からの攻撃がそこまで(または管理対象デバイスまで)決して到達できないようにする必要があります。

Defense Center とその管理対象デバイスが同じネットワーク上に存在する場合は、デバイス上の管理インターフェイスを、Defense Center と同じ保護された内部ネットワークに接続できます。これにより、Defense Center からデバイスを安全に制御することができます。また、他のネットワーク上のデバイスからのトラフィックを Defense Center で管理および分離できるように、複数の管理インターフェイスを設定することもできます。

アプライアンスの展開方法とは無関係に、アプライアンス間通信は暗号化されます。それでも、分散型サービス拒否(DDoS)や中間者攻撃などの手段で FireSIGHT システム アプライアンス間の通信が中断、ブロック、または改ざんされないよう何らかの対策を講じる必要があります。

また、FireSIGHT システム の機能によってはインターネット接続が必要となることにも注意してください。デフォルトで、すべての FireSIGHT システム アプライアンスはインターネットに直接接続するよう設定されます。加えて、システムで特定のポートを開いたままにしておく必要があります。その目的は基本的なアプライアンス間通信、セキュアなアプライアンス アクセス、および特定のシステム機能を正しく動作させるために必要なローカル/インターネット リソースへのアクセスを可能にすることです。

ヒント Blue Coat X-Series 向け Cisco NGIPS を除いて、FireSIGHT システム アプライアンスではプロキシ サーバを使用できます。詳細については、管理インターフェイスの構成および http-proxyを参照してください。

詳細については、以下を参照してください。

インターネット アクセス要件

デフォルトで、FireSIGHT システム アプライアンスはポート 443/tcp(HTTPS)および 80/tcp(HTTP)でインターネットに直接接続するよう設定されます。これらのポートは、すべての FireSIGHT システム アプライアンス上でデフォルトでオープンになっています(通信ポートの要件を参照)。ほとんどの FireSIGHT システム アプライアンスではプロキシ サーバを使用できることに注意してください(管理インターフェイスの構成を参照)。プロキシ サーバは whois アクセスに使用できない点にも注意が必要です。

運用継続性を確保するために、高可用性ペアの両方の Defense Center がインターネットにアクセスできる必要があります。特定の機能については、プライマリ Defense Center がインターネットにアクセスし、同期プロセスでセカンダリと情報を共有します。したがって、プライマリに障害が発生した場合は、ハイ アベイラビリティ ステータスのモニタリングおよび変更の説明に従ってセカンダリをアクティブ ステータスにプロモートする必要があります。

次の表に、FireSIGHT システムの特定の機能におけるインターネット アクセス要件を示します。

 

表 E-1 FireSIGHT システム機能のインターネット アクセス要件

機能
インターネット アクセスの用途
アプライアンス
ハイ アベイラビリティの考慮事項

動的分析:照会

動的分析のために、送信済みファイルの脅威スコアをクラウドに照会します。

Defense Center

ペア化された Defense Center は、個別に脅威スコアをクラウドに照会します。

動的分析:送信

動的分析用にファイルをクラウドに送信します。

シリーズ 2 と X-シリーズ を除く任意のデバイス

適用対象外

FireAMP 統合

Cisco クラウドからエンドポイント ベースの(FireAMP)マルウェア イベントを受信します。

Defense Center

クラウド接続は同期されません。両方の Defense Center でクラウド接続を設定します。

侵入ルール、VDB、および GeoDB の更新

侵入ルール、GeoDB、または VDB の更新をアプライアンスに直接ダウンロードするか、ダウンロードをスケジュールします。

Defense Center

侵入ルール、GeoDB、および VDB の更新は同期されます。

ネットワークベースの AMP

マルウェア クラウド検索を実行します。

Defense Center

ペア化された Defense Center は、個別にクラウド検索を実行します。

RSS フィード ダッシュボード ウィジェット

Cisco を含む外部ソースから RSS フィード データをダウンロードします。

すべて(仮想デバイスと X-シリーズ を除く)

フィード データは同期されません。

セキュリティ インテリジェンス フィルタリング

インテリジェンス フィードを含む、外部ソースからのセキュリティ インテリジェンス フィード データをダウンロードします。

Defense Center

プライマリ Defense Center がフィード データをダウンロードして、セカンダリと共有します。プライマリに障害が発生した場合は、セカンダリをアクティブに昇格させてください。

システム ソフトウェアの更新

システム更新をアプライアンスに直接ダウンロードするか、ダウンロードをスケジュールします。

すべて(仮想デバイスと X-シリーズ を除く)

システム更新は同期されません。

URL フィルタリング

クラウドベースの URL カテゴリおよびレピュテーション データをアクセス コントロール用にダウンロードし、カテゴライズされていない URL に対してルックアップを実行します。

Defense Center

プライマリ Defense Center は URL フィルタリング データをダウンロードして、セカンダリと共有する。プライマリに障害が発生した場合は、セカンダリをアクティブに昇格させてください。

whois

外部ホストの whois 情報を要求します。

すべて(仮想デバイスと X-シリーズ を除く)

whois 情報を要求するすべてのアプライアンスがインターネットにアクセスできる必要があります。

通信ポートの要件

FireSIGHT システム アプライアンスは、(デフォルトでポート 8305/tcp を使用する)双方向 SSL 暗号化通信チャネルを使って通信します。基本的なアプライアンス間通信用にこのポートを開いたままにする 必要があります 。他のオープン ポートの役割は次のとおりです。

  • アプライアンスの Web インターフェイスにアクセスする
  • アプライアンスへのリモート接続を保護する
  • 特定のシステム機能を正しく動作させるために必要なローカル/インターネット リソースへのアクセスを可能にする

一般に、機能関連のポートは、該当する機能を有効化または設定する時点まで、閉じたままになります。たとえば、Defense Center をユーザ エージェントに接続するまでは、エージェント通信ポート(3306/tcp)は閉じたままになります。別の例として、LOM を有効にするまでは、シリーズ 3 アプライアンス上のポート 623/udp が閉じたままになります。

注意 開いたポートを閉じると展開にどのような影響が及ぶか理解するまでは、開いたポートを 閉じないでください

たとえば、管理デバイス上のポート 25/tcp(SMTP)アウトバウンドを閉じた場合、個別の侵入イベントに関する電子メール通知をデバイスから送信できなくなります(侵入ルールの外部アラートの設定を参照)。別の例として、ポート 443/tcp(HTTPS)を閉じることにより物理管理対象デバイスの Web インターフェイスへのアクセスを無効にできますが、それと同時に、動的分析のためにデバイスから疑わしいマルウェア ファイルをクラウドに送信できなくなります。

次のように、システムのいくつかの通信ポートを変更できることに注意してください。

  • システムと認証サーバの間の接続を設定するときに、LDAP および RADIUS 認証用のカスタム ポートを指定できます(LDAP 認証サーバの指定および RADIUS 接続の設定を参照)。
  • 管理ポート(8305/tcp)を変更できます(管理インターフェイスの構成を参照)。ただし、 Cisco では、デフォルト設定を維持することを 強く 推奨しています。管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのアプライアンスの管理ポートを変更する必要があります。
  • ポート 32137/tcp を使用して、アップグレード対象の Defense Center と Cisco の通信を可能にすることができます。ただし、Cisco では、バージョン 5.3 以降の新規インストールのデフォルトであるポート 443 に切り替えることを推奨しています。詳細については、クラウド通信の有効化を参照してください。

次の表は、FireSIGHT システムの機能を最大限に活用できるように、各アプライアンス タイプで必要なオープン ポートを示しています。

 

表 E-2 FireSIGHT システムの機能と運用のためのデフォルト通信ポート

[ポート(Port)]
説明
方向(Direction)
開いているアプライアンス
目的

22/tcp

SSH/SSL

双方向

Any

アプライアンスへのセキュアなリモート接続を許可します。

25/tcp

SMTP

発信

Any

アプライアンスから電子メール通知とアラートを送信します。

53/tcp

DNS

発信

Any

DNS を使用します。

67/udp

68/udp

DHCP

発信

すべて(X-シリーズ を除く)

DHCP を使用します。

) これらのポートはデフォルトで閉じられています

80/tcp

HTTP

発信

すべて(仮想デバイスと X-シリーズ を除く)

RSS フィード ダッシュボード ウィジェットからリモート Web サーバに接続できるようにします。

 

 

双方向

Defense Center

HTTP 経由でカスタムおよびサードパーティのセキュリティ インテリジェンス フィードを更新します。

URL カテゴリおよびレピュテーション データをダウンロードします(さらにポート 443 も必要)。

161/udp

SNMP

双方向

すべて(X-シリーズ を除く)

SNMP ポーリング経由でアプライアンスの MIB にアクセスできるようにします。

162/udp

SNMP

発信

Any

リモート トラップ サーバに SNMP アラートを送信します。

389/tcp

636/tcp

LDAP

発信

すべて(仮想デバイスと X-シリーズ を除く)

外部認証用に LDAP サーバと通信します。

389/tcp

636/tcp

LDAP

発信

Defense Center

検出された LDAP ユーザに関するメタデータを取得します。

443/tcp

HTTPS

着信

すべて(仮想デバイスと X-シリーズ を除く)

アプライアンスの Web インターフェイスにアクセスします。

443/tcp

HTTPS

AMQP

クラウド通信

双方向

Defense Center

次のものを取得します。

  • ソフトウェア、侵入ルール、VDB、および GeoDB の更新
  • URL カテゴリおよびレピュテーション データ(さらにポート 80 も必要)
  • インテリジェンス フィードおよび他のセキュアなセキュリティ インテリジェンス フィード
  • エンドポイント ベースの(FireAMP)マルウェア イベント
  • ファイルに関してネットワーク トラフィックで検出されたマルウェアの性質
  • 送信されたファイルに関する動的分析情報

 

 

シリーズ 2 デバイスと シリーズ 3 デバイス

デバイスのローカル Web インターフェイスを使用してソフトウェア更新をダウンロードします。

 

 

シリーズ 3 および仮想デバイス

動的分析のためにファイルを送信します。

514/udp

syslog

発信

Any

リモート syslog サーバにアラートを送信します。

623/udp

SOL/LOM

双方向

シリーズ 3

Serial Over LAN(SOL)接続を使用して Lights-Out Management を実行できるようにします。

1500/tcp

2000/tcp

データベース アクセス

着信

Defense Center

サードパーティ クライアントによるデータベースへの読み取り専用アクセスを可能にします。

1812/udp

1813/udp

RADIUS

双方向

すべて(仮想デバイスと X-シリーズ を除く)

外部認証とアカウンティングのために RADIUS サーバと通信します。

3306/tcp

ユーザ エージェント

着信

Defense Center

ユーザ エージェントと通信します。

8302/tcp

eStreamer

双方向

すべて(仮想デバイスと X-シリーズ を除く)

eStreamer クライアントと通信します。

8305/tcp

アプライアンス通信

双方向

Any

展開におけるアプライアンス間で安全に通信します。 必須作業です。

8307/tcp

ホスト入力クライアント

双方向

Defense Center

ホスト入力クライアントと通信します。

32137/tcp

クラウド通信

双方向

Defense Center

アップグレード対象の Defense Center と Collective Security Intelligence クラウド クラウドの通信を可能にします。