「2024-11-12 Firepower まとめ」の版間の差分

提供:hkatou_Lab
ナビゲーションに移動 検索に移動
編集の要約なし
 
(同じ利用者による、間の2版が非表示)
205行目: 205行目:


[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%8B%E3%82%89%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2%E3%81%AE%E5%BC%B7%E5%88%B6%E5%89%8A%E9%99%A4%E6%96%B9%E6%B3%95/ta-p/3921756 Firepower System: FMCからのデバイス登録の強制削除方法]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%8B%E3%82%89%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2%E3%81%AE%E5%BC%B7%E5%88%B6%E5%89%8A%E9%99%A4%E6%96%B9%E6%B3%95/ta-p/3921756 Firepower System: FMCからのデバイス登録の強制削除方法]
=== ASA の Port-channel はシャーシまたぎに対応しない ===
Catalyst Stack がシャーシまたぎで LAG を組める、という常識で ASA と Port-channel で接続すると、ハマる構成。
ASA を Active / Standby の HA 冗長構成を組んだ場合、対向側 Catalyst の Port-channel は、ASA のシャーシごとに組む必要がある。
Catalyst Stack#1 Po1 --- Po1 ASA#1
Catalyst Stack#2 Po2 --- Po1 ASA#2
ASA 側は HA のコンフィグ同期で Po1 は 1 つになるため、ややこしい。
* ASA は Po1 でコンフィグは HA により共通化されているが、Po1 の存在自体は ASA#1 と ASA#2 で独立しているため、別として扱う必要がある


== CLI ==
== CLI ==
234行目: 243行目:
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-asa%E3%81%AE%E3%82%A2%E3%83%83%E3%83%97%E3%82%B0%E3%83%AC%E3%83%BC%E3%83%89%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/4736810 Firepower1000/2100: ASAのアップグレードについて]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-asa%E3%81%AE%E3%82%A2%E3%83%83%E3%83%97%E3%82%B0%E3%83%AC%E3%83%BC%E3%83%89%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/4736810 Firepower1000/2100: ASAのアップグレードについて]


== threat-detection ==
== threat-detection 脅威検出 ==
 
=== デフォルトの動作 ===
デフォルトで有効になっている。脅威ホストからの通信として検知されると、デフォルト値で 3600 秒 = 1 時間の間通信させないという挙動を行う。<blockquote>CLI ブック 2:Cisco Secure Firewall ASA ファイアウォール 9.20 CLI コンフィギュレーションガイド
 
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa920/configuration/firewall/asa-920-firewall-config/conns-threat.html#ID-2132-0000006a 脅威検出のデフォルト]
 
* 表 2. 基本的な脅威の検出のデフォルト設定
 
* 基本脅威検出は、デフォルトでイネーブルになっています。
 
* これをディセーブルにするには no threat-detection basic-threat を使用します。
 
* 任意)攻撃元のホストを遮断する期間を設定します。
** threat-detection scanning-threat shun duration seconds
 
[https://www.cisco.com/c/ja_jp/support/docs/security/asa-5500-x-series-next-generation-firewalls/113685-asa-threat-detection.html ASA脅威の検出機能と設定の確認]</blockquote>


=== ASA OS の threat-detection でパケットが遮断される場合の対処法 ===
=== ASA OS の threat-detection でパケットが遮断される場合の対処法 ===
243行目: 268行目:
試験環境の場合、以下で回避可能。
試験環境の場合、以下で回避可能。


==== 除外する場合 ====
こちらは現在遮断中のホストに影響しない。遮断対象から除外するコマンド。
* show shun でエントリがあるか確認する
* show shun でエントリがあるか確認する


249行目: 276行目:
  threat-detection scanning-threat shun except ip-address <IP> <mask>
  threat-detection scanning-threat shun except ip-address <IP> <mask>


* clear shun で遮断のエントリを削除する
==== 遮断を解除する場合 ====
* [https://www.cisco.com/c/ja_jp/td/docs/sec/firewall/asa5500nextgenerationfire/cr/001/cmdref80/c3.html#pgfId-2132414 clear threat-detection shun] <IP> で遮断のエントリを削除する


== リファレンス ==
== リファレンス ==

2024年12月19日 (木) 12:07時点における最新版

Cisco の Adaptive Secure Appliance (ASA) の後継として、Firepower がリリースされています。

このページでは Firepower の動作についてまとめています。

Cisco コミュニティのまとめページ

Firepower System and FTDトラブルシューティング

ファイアウォール トラブルシューティング

Firepower のアーキテクチャ

FPR2100 以外の製品でソフトウェア転送となっており、基本的に ASIC を使用しません。

Firepowerデータパスのトラブルシューティング:概要

2100シリーズのデバイスは他のデバイスと大きく異なり、特定用途向け集積回路(ASIC)が存在します。 
従来のASA機能(Lina)はすべてASIC上で実行され、次世代ファイアウォール(NGFW)機能(Snort、
URLフィルタリングなど)はすべて従来のx86アーキテクチャ上で実行されます。

ASA と Firepower の違い

ASA

以前販売されていたアプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する。

Firepower 上でも ASA OS として動作させることが可能な製品が存在する。

Firepower

仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。

Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。

  • ASA アプライアンス モード
    • レイヤ 4 までのフィルタリング、VPN 機能などを備える
    • ASA 導入済みで NGFW 機能が必要のない、DMZ 用クラシック FW に向いている
    • ASA のコンフィグや運用は、ほぼそのまま踏襲可能
  • FTD プラットフォーム モード
    • レイヤ 7 までを含み、脅威の監査などを行う
    • IPS / NGFW / FTD

FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。

動作モード

機種によっても動作可能なモードが異なり、両対応の場合はモード変更を行うことが可能。

また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。

  • Firepower 1000 シリーズ : ASA アプライアンスモード
  • Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
  • Firepower 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
  • Firepower 4100 シリーズ : FTD プラットフォーム モード
  • Firepower 9300 シリーズ : FTD プラットフォーム モード

機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。

Firepower Management Center (FMC)

Cisco Defense Orchestrator (CDO)

詳細は以下のドキュメントが詳しい。

Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介

Firepower1000/2100/3100シリーズ: ASA(Appliance Mode)と FTD間のリイメージ手順について

Firepower Threat Defense(FTD)管理インターフェイスの設定

冗長化

Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)

ASA: 冗長機能と、Failoverのトリガー、Health Monitoringについて

ASA: 冗長構成(Act/Stby)で Active機とStandby機の再起動方法 (CLI)

ASA Failover: ケース別のGARP送付有無について

ASA: Redundant Interfaceの設定例と動作確認

ASA5500-X: Internet Firewall 設定例 (冗長構成)

FMC 環境下のバックアップ・リストア

FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。

また、機能によってはリストアに対応しない機能もあります。

Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時)

・FPR4100/9300利用時は、シャーシ管理用のOSであるFXOSの、バックアップとリストアが別途必要です。
・Flexconfigや、VPN、Certificate設定はリストアに対応しておらず、FTDリストア後の再設定が必要です

注意するべき内容

Portchannel のステータスが ASA OS から確認できない

ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため、FXOS の CLI から確認する。

Firepower2100-ASA: EtherChannelの設定確認方法

ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。

ASA から FXOS にコンソールを切り替えて、コマンドを実施します。

show portchannel summary (上記 URL から引用)

firepower-2110# connect local-mgmt
firepower-2110(local-mgmt)#
firepower-2110(local-mgmt)# show portchannel summary
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------

Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------

1     Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)

その他のコマンドは上述の外部リンクの内容を参照してください。

電源 off / 再起動は明示的に実施する

Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。

Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順

Caution:

電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。

ちなみに ASA アプライアンス モード中に電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である [1] ため、安全に切れるようになっています。

データベース破損による再インストールが発生しかねない危険な作業は、電源ケーブルの直接抜去です。

ASA 再起動

FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください

再起動を実施する場合は、ASAアプリケーションを reloadコマンドで再起動することで、FXOSも自動で再起動が発生します。

FPR2100-ASA# reload
admin01 config has been modified. Save? [Y]es/[N]o/[S]ave all/[C]ancel:  Y
Cryptochecksum: 02ec7f9d cd0b78cc 9e8d6cf2 2b8b26ca

6418 bytes copied in 0.960 secs
Proceed with reload? [confirm]

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down sw-module
Shutting down License Controller
Shutting down File system
   --- 略 ---

ASA シャットダウン

FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください

シャットダウンを実施する場合は、connect fxos もしくは connect fxos admin コマンド (※) を実行後に、connect local-mgmt --> shutdown コマンドを実施してください。(※ASAアプライアンスモード利用時)

FPR2120# connect fxos admin
Configuring session.
Connecting to FXOS.
...
  --- 略 ---
firepower-2120#
firepower-2120# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-2120(local-mgmt)# shutdown
Before shutdown, please take a configuration backup.
Do you still want to shutdown? (yes/no): yes

FTD 再起動

[1]FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください

FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。

firepower# connect ftd
>
>
> reboot

FTD シャットダウン

FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください

シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。

> shutdown
This command will shutdown the system. Continue?
Please enter 'YES' or 'NO': YES

インターフェース モードのパッシブ コマンドは LACP の passive と異なり、キャプチャ (SPAN) によるモニター モードを意味する

Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)

インターフェイス モード

インターフェイスごとに、次のいずれかのモードを設定できます。

ルーテッド

各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。

パッシブ

パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。

FMC から FTD が削除できない

FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。

Firepower System: FMCからのデバイス登録の強制削除方法

ASA の Port-channel はシャーシまたぎに対応しない

Catalyst Stack がシャーシまたぎで LAG を組める、という常識で ASA と Port-channel で接続すると、ハマる構成。 ASA を Active / Standby の HA 冗長構成を組んだ場合、対向側 Catalyst の Port-channel は、ASA のシャーシごとに組む必要がある。

Catalyst Stack#1 Po1 --- Po1 ASA#1
Catalyst Stack#2 Po2 --- Po1 ASA#2

ASA 側は HA のコンフィグ同期で Po1 は 1 つになるため、ややこしい。

  • ASA は Po1 でコンフィグは HA により共通化されているが、Po1 の存在自体は ASA#1 と ASA#2 で独立しているため、別として扱う必要がある

CLI

FTD / ASA を移動する

FXOS: FTD: OSの構造とコマンドプロンプトの移動方法

FTD から ASA に CLI を変更し、ping 試験を行う

FTD: CLIからのPING試験について

system support diagnostic-cli

推奨バージョン

Cisco Secure Firewall ASA Compatibility

Verup

ASA は互換性があれば異バージョンであっても、一時的に冗長構成を組むことが可能。

両系を同時に再起動することなく、Verup することができる。

FirepowerアプライアンスでのASA HAペアのアップグレード

Cisco Secure Firewall ASA アップグレードガイド

アクティブ/スタンバイ フェールオーバー ペアのアップグレード

Firepower1000/2100: ASAのアップグレードについて

threat-detection 脅威検出

デフォルトの動作

デフォルトで有効になっている。脅威ホストからの通信として検知されると、デフォルト値で 3600 秒 = 1 時間の間通信させないという挙動を行う。

CLI ブック 2:Cisco Secure Firewall ASA ファイアウォール 9.20 CLI コンフィギュレーションガイド

脅威検出のデフォルト

  • 表 2. 基本的な脅威の検出のデフォルト設定
  • 基本脅威検出は、デフォルトでイネーブルになっています。
  • これをディセーブルにするには no threat-detection basic-threat を使用します。
  • 任意)攻撃元のホストを遮断する期間を設定します。
    • threat-detection scanning-threat shun duration seconds

ASA脅威の検出機能と設定の確認

ASA OS の threat-detection でパケットが遮断される場合の対処法

ASA OS は threat-detection で パケットを遮断する場合がある。

運用時は問題ないが、試験環境では大量のパケットを投げる場合もあり、遮断されるのが好ましくないケースがある。

試験環境の場合、以下で回避可能。

除外する場合

こちらは現在遮断中のホストに影響しない。遮断対象から除外するコマンド。

  • show shun でエントリがあるか確認する
  • 以下で shun の範囲から除外する
threat-detection scanning-threat shun except ip-address <IP> <mask>

遮断を解除する場合

リファレンス

TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer

ASA: スマートライセンス認証とトラブルシューティング

ASA: リモートアクセスVPN パフォーマンス最適化のためのベストプラクティス (AnyConnect)

脆弱性・不具合情報

【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について

Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software ICMPv6 Message Processing Denial of Service Vulnerability

  • CVE-2023-20086
  • CSCwd77581

コマンドリスト

作業日、全作業の事前・事後ログに取りたいコマンドのリスト。

作業中はコンフィグを変更する機能に絞って、変更前と変更後に取得して、Winmerge で比較し差分が妥当であるか確認します。

Catalyst 9000 シリーズ 事前・事後ログリスト
大区分 小区分 コマンド 備考
ターミナル設定 terminal pager 0

terminal monitor

サポート show tech-support
Common System Management show version

show running-config

more system:running-config [2]

show logging

show ntp associations

IOS-XE Version , ライセンス

動作中のコンフィグ

メモリに保存された log

NTP 同期

Layer1 Hardware show facility-alarm status
Interface show interface インターフェース

状態 カウンタ

エラーカウンタ

Layer2 Common show vlan

show mac address-table

Vlan

MAC アドレステーブル

Redundancy Protocol show port-channel summary (FX-OS)

show port-channel load-balance

ポートチャネル

負荷分散メソッド

Layer3 Common show arp

show interface ip brief

show ipv6 neighbors

ARP エントリ

IP インターフェース一覧

IPv6 ネイバー

Security show ip access-lists

show ipv6 access-list

IPv4 アクセスリスト

IPv6 アクセスリスト

Routing show route

show ospf neighbor

show bgp summary

show bgp neighbor x.x.x.x advertised-routes

show ip bgp neighbor x.x.x.x received-routes

show ipv6 route

show ipv6 ospf neighbor

show ipv6 interface brief

show bgp ipv6 summary

IPv4 ルート

OSPF ネイバー

BGP IPv4 ピア一覧

特定ピアの BGP 広報ルート

特定ピアの BGP 受信ルート

IPv4 ルート

IPv6 OSPF ネイバー

IPv6 インターフェース一覧

BGP IPv6 ピア一覧

High Availability show failover state フェイルオーバー
ASA VPN Site-to-Site VPN show crypto ikev1 sa

show crypto ikev2 sa

show crypto ipsec sa

show crypto isakmp sa

セキュリティ アソシエーション

引用

  1. FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。
  2. 実行コンフィギュレーションの確認 (注)  多くのパスワードは ***** として表示されます。パスワードをプレーン テキストまたは暗号化された形式(マスター パスフレーズを有効にしている場合)で表示するには、more コマンドを使用します。